證監會規定上市公司必須在4天內報告黑客攻擊事件 - 彭博社

遭受網絡攻擊的公司面臨一個四天的期限，在週三由美國證券交易委員會批准的有爭議的新規定下公開披露重大影響。去年提出的這些規定遭到了貿易組織和企業的激烈反對，要求上市公司在確認網絡攻擊對其造成實質影響後的四天內提交網絡攻擊的詳細信息。

市場監管機構的披露規則是其在多年來不斷遭受來自犯罪團伙和國家支持的黑客的無情攻擊之後，為提高對網絡威脅的透明度而做出的最新努力。根據該機構的説法，它們還試圖解決現有網絡安全披露中的漏洞。

目前，上市公司依賴於美國證券交易委員會的指導方針來確定何時應對被認為對投資者相關的網絡風險和事件進行披露。這導致了網絡事件報告的混亂。報告事件的公司對影響和應對措施提供了不同程度的細節。有些網絡事件沒有及時報告，而其他一些則根本沒有披露。

潛在延遲

如果披露有關黑客攻擊的信息可能對國家安全或公共安全構成重大風險，由美國司法部長確定，公司可以延遲披露。這種延遲是對最新版本規則的補充，是對委員會最初提議的商業關切的回應。商業團體要求增加延遲條款，認為過早公開網絡安全漏洞或事件可能會妨礙正在進行的執法調查。

“一個大部分客户對企業保護敏感個人信息能力失去信心的風險，對投資者決定是否投資於一家公司可能具有重要意義，”支持新規定的三名委員之一 Jaime Lizárraga 委員説。“尤其是在後疫情時代，我們國家的工作人員花費更多時間遠程工作。”

他説，值得報告的事件可能包括涉及知識產權盜竊、業務中斷或聲譽損害的網絡攻擊。如果司法部長通知證券交易委員會披露可能對國家安全構成風險，那麼延遲披露網絡攻擊的規定“足夠狹窄”，在保護投資者的權益和司法部圍繞國家安全和公共安全的優先事項之間取得了適當的平衡，Lizárraga 説。

前證券交易委員會網絡安全顧問、現為國家董事協會提供指導的 Christopher Hetner 説，“這項規定的結果將是在披露方面創造更多正常性。” Hetner 説，現有的網絡安全披露非常零散，不像財務報表那樣由於共同的會計準則而保持一致。

反對這些規定的兩名委員之一 Hester Peirce 委員擔心，短暫的披露網絡事件的時間可能會讓投資者得到不準確的信息。規定允許公司使用最初不可用的新信息更新其事件披露。

在投票之前，其他人對這項提議提出了反對意見。例如，貿易協會信息技術行業協會批評了四天的截止期限太短，因為公司在那時很可能對事件知之甚少。

第三方供應商

荷蘭騎士合夥人、前聯邦檢察官沙杜爾·德賽表示，公司擔心證監會在定義事件如何在監管機構看來變得重要方面含糊其辭。“在這些公司不知道所有細節的情況下，8K報告中需要多少細節？”他在週二的一次採訪中説。

一些人敦促證監會包括一個針對源自第三方（如軟件或雲存儲提供商）的黑客攻擊的例外條款。沒有這個，公司將不得不更好地與供應商協調，Debevoise & Plimpton LLP合夥人、前網絡犯罪檢察官埃雷茲·利伯曼在週三的一次採訪中説。

“第三方風險管理計劃將不得不加強，以確保您迅速瞭解事件，”他説。利伯曼表示，在勒索軟件攻擊仍在進行時披露其影響也可能使黑客在談判中“佔上風”，這種談判通常需要兩到三週時間。企業通常在與黑客談判時試圖淡化攻擊的影響，他説。

證監會提出了另一項針對投資顧問和基金的網絡報告規則，以及一項類似的規則適用於證券交易所和其他美國證券市場參與者。

Nasdaq, NYSE面臨SEC規則下的網絡入侵報告責任

未能如實提供有關網絡事件信息的公司可能面臨SEC的調查和罰款，因為這可能誤導投資者。例如，軟件公司SolarWinds Corp.已被告知可能會受到機構執法行動的通知，原因是在2020年披露的一場大規模黑客攻擊活動侵入了美國政府和美國企業的計算機系統。