FBI, halka açık şirketlerin maddi siber güvenlik olaylarının Menkul Kıymetler ve Borsa Komisyonu’na açıklanmasının geciktirilmesi yönündeki taleplerinin yerine getirilmesinde başı çekiyor.
Ajans geçen hafta raporunu yayınladı. Açıklama gecikme taleplerinin belgelenmesine yönelik politikalar. Ayrıca, SEC kuralı uyarınca kamuya açık bir başvurunun kamu güvenliği veya ulusal güvenliğe ciddi bir tehdit oluşturması durumunda gecikmelere izin verilebilecek koşulları da ayrıntılı olarak açıkladı.
Pazartesi gününden itibaren işletmelerin, her maddi siber güvenlik olayını, maddi etkinin belirlenmesinden sonraki dört iş günü içinde 8-K dosyalarında SEC’ye bildirmeleri gerekiyor.
kural 5 Eylül’de yürürlüğe girdi ve SEC Pazartesi günü kuralı uygulamaya başlayacak. Küçük şirketlerin 15 Haziran 2024’ten itibaren kurala uyması gerekecek.
SEC’in bir siber saldırının ortasında işletmelerden daha fazla şeffaflık talep etme çabaları, halka açık şirketlere yönelik kötü niyetli faaliyetlerin kapsamını ve boyutunu daha da vurgulayacaktır.
Bu yetki aynı zamanda federal hükümetin fidye yazılımı saldırıları hakkında erkenden daha fazla bilgi edinme çabalarını da kolaylaştıracak; çünkü saldırıların çoğu raporlanmıyor ve raporlama eksikliği kolluk kuvvetlerinin tehdit aktörlerine karşı harekete geçme yeteneğini engelliyor.
Üst düzey bir FBI yetkilisi geçen ay yaptığı bir açıklamada, “Bu izinsiz girişlere ilişkin ayrıntılı, zamanında ve doğru bilgi almazsak, bunlar hakkında harekete geçemeyiz” dedi. Dağınık Örümcek hakkında medya brifingi.
SEC kuralındaki bir hüküm, başsavcıya, son başvuru tarihini 30 gün daha uzatma seçeneğiyle birlikte 30 iş günü gecikme izni vermesine izin veriyor. FBI, “olağanüstü koşullar altında” başsavcının, önemli ulusal güvenlik riskleri nedeniyle açıklamayı 60 iş günü daha erteleyebileceğini söyledi.
Mağdur kuruluşların, önemlilik tespiti yapmadan önce FBI, ABD Gizli Servisi, Siber Güvenlik ve Altyapı Güvenliği Ajansı veya sektör risk yönetimi kurumlarıyla iletişim kurmaları teşvik edilmektedir.
FBI, bu tür iletişimlerin olayı maddi hale getirmeyeceğini ancak “şirketin bir siber olayın önemli olduğunu tespit etmesi ve açıklamanın ertelenmesini istemesi durumunda FBI’ın incelemesine yardımcı olabileceğini” söyledi.
FBI, SEC’e ifşa edilmesini tetikleyen maddi bir siber güvenlik olayının, “makul bir hissedarın yatırım kararları açısından bunun önemli olduğunu düşünme ihtimalinin yüksek olduğu” durumlarda meydana geldiğini söyledi. özet.
Gecikme talebinde bulunan şirketlerin FBI ile temasa geçmeleri ve olayın ne zaman meydana geldiği ve kuruluşun olayı ne zaman önemli saydığı hakkındaki ayrıntıları paylaşmaları gerekiyor.
FBI bu talepleri belgeleyecek, ulusal güvenliğe ve kamu güvenliğine olası etkileri araştıracak ve gecikme taleplerini Adalet Bakanlığı’na iletmeden önce Gizli Servis, CISA ve SRMA’lara danışacak.
FBI, Adalet Bakanlığı ve başsavcının bir gecikme kararı çıkaracağını ve bu kararı yazılı olarak mağdura ve SEC’e ileteceğini söyledi.