Menkul Kıymetler ve Borsa Komisyonu'nun siber olay raporlama kuralının yürürlüğe girmesinden üç ay sonra şirketler, bir ihlal veya saldırının etkisinin ne zaman önemli sayılacağı sorusuyla boğuşuyor.
Kural, 18 Aralık'ta yürürlüğe girdihalka açık firmaların bir olayı önemliliğin belirlenmesinden sonraki dört iş günü içinde raporlamasını gerektirir.
Son aylarda yaşanan çok sayıda yüksek profilli siber kesintinin hemen ardından şirketler, olayların teknik ihlal mi yoksa kötü niyetli saldırı mı olduğunu hemen belirlemek için çabalıyor.
Şu ana kadar önemlilik değerlendirmelerinin çok daha karmaşık olduğu ortaya çıktı. Şirketler, veri kaybının kapsamını, operasyonlar üzerindeki aşağı yöndeki etkisini ve düzenleyici, finansal ve marka itibarından kaynaklanan uzun vadeli etkileri incelemek zorundadır.
KPMG'nin ABD denetim, teknoloji güvence ortağı Maksim Vander, e-posta yoluyla şunları söyledi: “Siber güvenlik olaylarını SEC'ye açıklamak söz konusu olduğunda şirketler bir dengeleme eylemiyle karşı karşıya kalıyor.”
Şirketlerin ilk olay meydana gelir gelmez 8-K hakkında düşünmeye başlaması gerekiyor, ancak kuruluşların da niteliksel ve niceliksel faktörlerin bir karışımını göz önünde bulundurun KPMG tarafından yayınlanan bir rapora göre, önemlilik değerlendirilirken.
Nicel faktörler şunları içerir:
- Bir olayın süresi, etkilenen iş bölümlerinin sayısı ve fikri mülkiyet veya veri kaybı dahil olmak üzere ticari faaliyetler üzerindeki etkiler.
- Gelir, hisse senedi fiyatı ve önceki tahminlerden sapma dahil olmak üzere finansal performans veya kazançlar üzerindeki etkiler.
- Fidye ödemeleri, yasal ücretler, gelecekteki sigorta maliyetleri ve adli analiz dahil olmak üzere olay müdahale ve kontrol giderleri.
Niteliksel faktörler şunları içerir:
- Alınan bilginin türü ve miktarı
- İtibar hasarı
- Hem yukarı hem de aşağı yönde tedarik zinciri üzerindeki etki
- Hükümet soruşturmaları ve hukuki anlaşmazlıklar
Erken açıklayın, sık sık güncelleyin
Kurallar açıkça gerektirmese de bazı şirketler, olayları keşfedildikten hemen sonra SEC'e açıkladı. Başvurular daha sonra değiştirilmiş 8-K açıklamaları veya üç aylık veya yıllık raporlardaki ek açıklamalar yoluyla güncellendi.
Kasım ortasında bir siber saldırının keşfedilmesinden günler sonra Fidelity National Financial, olayı bir açıklamayla açıkladı. SEC'e 8-K başvurusu. Şirket, yetkisiz bir kişinin şirketin bazı sistemlerine erişim sağladığını ve ayrıca bazı kimlik bilgilerini çaldığını doğruladı.
Üretken fidye yazılımı çetesi AlphV/BlackCat, saldırının sorumluluğunu üstlendi.
Şirket olayı kasım ayı sonlarında kontrol altına aldı ve yatırımcıları bilgilendirdi değiştirilmiş bir 8-K dosyalamasında. Şirket daha sonra yatırımcılara sanal bir şömine başı sohbeti sırasında verilen yanıt hakkında bilgi verdi. Aralık başında 8-K başvurusu.
Fidelity National Financial, araştırmasını Aralık ortasında tamamladıktan sonra ek ayrıntıları açıkladı değiştirilmiş bir Ocak dosyasındaBu da 1,3 milyon müşterinin potansiyel olarak saldırıdan etkilendiğini ortaya çıkardı. TŞirket daha sonra saldırının kazançlar üzerinde önemli bir etki yaratmasını beklemediğini söyledi.
Bir başka yüksek profilli saldırıda MGM Resorts, Ekim ayında şirkete Eylül ayında yapılacak bir siber saldırının büyük bir etki yaratacağını açıklamıştı. Las Vegas'a 100 milyon dolarlık mali etki alan özellikleri.
Şirket, üç aylık raporlarda düzenli güncellemeler sağladı ve daha geçen ay şirketin soruşturmalarla karşı karşıya olduğunu açıkladı. eyalet ve federal düzenleyicilerSEC'e sunulan 10-K yıllık raporunda.
Önceki yıllarda şirketler, kurumsal itibarla ilgili endişeler ve yatırımcı ve müşteri sorumluluğu korkusu nedeniyle genellikle fidye yazılımı saldırılarını tamamen gizlerdi.
Siber güvenlik uzmanlarına göre şirketler, kısmen saldırıdan değil, saldırıdan kaynaklanan itibar kaybı endişeleri nedeniyle fidye yazılımının ifşa edilmesine ilişkin tutumlarını birçok yönden değiştirdi.
“Bir fidye yazılımı saldırısının kurbanı olmaktan daha az endişe duyuyorlar – çünkü çoğu öyle – bunu nasıl ele aldıklarının itibar üzerindeki etkisi konusunda endişeleniyorlar” dedi. Lider Matt Gorham Siber ve Gizlilik İnovasyon Enstitüsü PwC'de çalışıyor ve FBI'da eski bir müdür yardımcısı.
SEC Başkanı Gary Gensler, siber güvenlik olaylarıyla bağlantılı önemliliğin yeni bir kavram olmadığını kamuoyuna açıkladı.
“Bir şirketin bir yangında fabrikasını kaybetmesi veya bir siber güvenlik olayında milyonlarca dosyayı kaybetmesi yatırımcılar için önemli olabilir.” Gensler Temmuz ayında yaptığı açıklamada şunları söyledi: SEC olay raporlama kuralını onayladıktan sonra.
SEC'in kurumsal finansman bölümünün yöneticisi Erik Gerding, Aralık ayında yaptığı açıklamada, ajansın şirketlerin genellikle bir olaydan sonra önemliliği doğrudan belirleyemediklerini kabul ettiğini açıkladı.
Şirketler genellikle üçüncü taraf adli tıp araştırmacılarından bilgi toplamak ve bir saldırının tam etkisini anlamak için zamana ihtiyaç duyar.