Geçtiğimiz yıl ABD Menkul Kıymetler ve Borsa Komisyonu tarafından uygulamaya konulan yeni siber güvenlik ifşa kuralları, kamu şirketlerinden gelen olay raporlarında önemli bir artışa neden oldu, ancak bir yasa tarafından yapılan analize göre raporların çoğu bu olayların maddi etkisini içermiyor finans ve birleşme ve satın alma faaliyetlerinde uzmanlaşmış firma.
Paul Hastings LLP’nin analizi Açıklama kuralının yürürlüğe girdiği 2023 yılından bu yana siber güvenlik olay raporlarının %60 oranında arttığını tespit etti. SEC düzenlemesi, kamu şirketlerinin önemli siber güvenlik olaylarını, önemliliğin belirlenmesinden sonraki dört iş günü içinde açıklamasını gerektiriyor. Bu örnekte önemli olan, olayın bir kişinin şirkete yatırım yapıp yapmama kararını etkileyebileceği anlamına gelir. Önemliliğin belirlenmesi, operasyonlar üzerindeki anlık etkilerin ve uzun vadeli etkilerin dikkate alınmasını içerir; müşteri ilişkileri; mali etki; itibar veya marka algısı; ve dava veya düzenleyici eylem potansiyeli.
Yukarıdaki grafikte de görüldüğü gibi, düzenlemenin etkisi sanayi sektörlerine yayıldı. Finansal hizmetler sektörü en fazla sayıda açıklama raporuna sahip olsa da, sanayi ve sağlık hizmetleri de büyük ölçüde etkilendi. Otomotiv perakendeciliği ve perakende kuruluşları da siber saldırılara maruz kaldı ve bu olayları bildirmek zorunda kaldı.
Açıklamaların %10’dan azı olayların maddi etkilerini ayrıntılı olarak açıkladı; bu da şirketlerin ayrıntılı raporlama ile dahili operasyonların ayrıntılarını koruma arasında denge kurmakta zorlandıklarını gösteriyor. Raporda, Basset Furniture Industries’in toparlanma çabaları tamamlanana kadar iş operasyonlarının maddi olarak etkilendiğini belirtmesi veya First American Financial’ın dördüncü çeyrek mali sonuçları için hisse başına düzeltilmiş kazancı açıklaması ve şirketin zararlarını sayısallaştırması gibi önemli kabul edilen örneklere yer verildi. SEC kayıtları.
Bazı şirketler (%13) olayla ilgili daha fazla ayrıntı sağlamak için bir basın bülteni yayınlamayı veya bir blog gönderisine referans vermeyi tercih etti.
Üçüncü Taraf İhlali Etkisi
Rapordaki dört olaydan biri üçüncü taraf ihlalleriydi ve bu da 4 olaydan 1’ine karşılık geliyordu. Şirketler, özellikle de diğer mağdurların olayları ifşa etmesi durumunda, üçüncü taraf ihlallerini ifşa edip etmeme konusunda kararsız kalıyor. Fidye yazılımı saldırısından en çok otomotiv perakende sektörü etkilendi otomotiv yazılım sağlayıcısı CDK Global Haziran ayında. Şirket 25 milyon dolar fidye ödedi. CDK’nın ana şirketi Brookfield Business Partners, Temmuz ayında yaptığı açıklamada şirketin “bu olayın maddi bir etki yaratmasını beklemediğini” söyledi. Küçük otomotiv şirketlerinin çoğu, CDK olayının maddi etki yarattığını iddia etti.
SEC kısa süre önce dört SolarWinds müşterisiyle, siber saldırıdan nasıl etkilendikleriyle ilgili yanıltıcı açıklamalar yaptıkları iddiasıyla yaptırım anlaşmaları yaptığını duyurdu. Dört kişiden ikisi olayları kamuya açıkladı ancak tehdit aktörünün adı, çalınan bilgilerin niteliği ve erişilen hesap sayısı gibi o sırada bilinen tüm önemli gerçekleri açıklamadı. Diğer ikisi olayları açıklamadı ve SEC, etkiyi açıklamaları gerektiğini söyledi.
Hız mı, Daha Fazla Ayrıntı mı?
Açıklamaların dörtte üçünden fazlası (%78) olayın ortaya çıkmasından sonraki sekiz gün içinde yapıldı. SEC, açıklamanın son tarihinin olduğunu belirtti Olumsuz Olayın farkına varılmasından dört iş günü sonra (ancak bunun yerine önemlilik belirlendiğinde) çoğu şirket hızlı hareket etmeyi tercih etti. Üçüncüsü (%32) keşiften sonraki dört gün içinde başvuruda bulundu. Bu, şirketlerin gecikmiş açıklama nedeniyle SEC tarafından para cezasına çarptırılmamak için hızlı raporlama yaptığını, ancak olayın tam sonuçlarını henüz belirlemedikleri için çok hızlı rapor verdiklerini gösteriyor. Bu, şirketlerin %42’sinin aynı olay için birden fazla rapor sunmasının ve her seferinde ölçülebilir kayıp, müşterinin kişisel verilerine etkisi ve bireylere ve düzenleyici kurumlara bildirim gibi daha fazla ayrıntı sunmasının nedeni olabilir.
Raporun yazarları, “Şirketler, bir siber olay durumunda bu tür önemlilik kararlarını vermek için gereken karar alma sürecini uygulamak için ifşa kontrollerini değerlendirmeye devam etmeli ve masa üstü tatbikatlara katılmalı” dedi.