Gepubliceerd op: 13 december 2023

De FBI heeft deze week een beleidsmededeling uitgegeven, waarin regels worden uiteengezet die bedrijven moeten volgen om uitstel te vragen bij het melden van cyberincidenten aan de Securities and Exchange Commission (SEC).

Volgens de documentkunnen bedrijven via de FBI het DOJ (ministerie van Justitie) om uitstel van maximaal 30 dagen vragen als de openbaarmaking een risico voor de nationale veiligheid vormt of iemands openbare veiligheid in gevaar brengt. De afdeling kan een verzoek van maximaal 60 extra werkdagen inwilligen in ‘buitengewone omstandigheden’ die als aanzienlijk nationaal veiligheidsrisico worden beschouwd. De FBI zei echter dat dit niet van toepassing is op de risico's voor de openbare veiligheid.

De FBI zal elk verzoek dat het ontvangt documenteren, ‘controles van de nationale veiligheid en openbare veiligheidsaandelen van de Amerikaanse overheid’ coördineren en het ter beoordeling doorsturen naar het DOJ.

“Nadat de FBI een verwijzing heeft gemaakt op basis van aandelencontroles en feitenonderzoeksprocedures, zal DOJ een uitstelbesluit uitvaardigen. Deze beslissing zal gelijktijdig schriftelijk aan het slachtoffer en de SEC worden meegedeeld. Als DOJ het uitstelverzoek goedkeurt, moet de FBI het slachtoffer uitnodigen om eventuele verzoeken om uitstelverlenging bij het Bureau in te dienen. Er komt een e-mailadres waar slachtoffers dergelijke verzoeken kunnen indienen”, aldus de FBI.

De FBI en het DOJ zullen bepalen of de situatie uitstel rechtvaardigt op basis van verschillende factoren, waaronder het soort kwetsbaarheid dat werd uitgebuit toen de eerste aanval plaatsvond en de industrie van het slachtoffer.

“Als het zoiets als een zero-day en een natiestaat is, neigen we waarschijnlijk eerder naar een mogelijke bezorgdheid over die onthulling in termen van het voordeel voor de nationale veiligheidsrisico’s dan naar een soort alledaagse phishing. aanval,” zei DOJ plaatsvervangend assistent-procureur-generaal Eun Young Choi. “Dat zijn soort van geval per geval beslissingen die we zullen moeten nemen.”

Een belangrijk voorbehoud voor bedrijven die uitstel willen aanvragen, is dat ze het incident onmiddellijk moeten melden zodra ze vaststellen dat het materieel is. Het bureau legt uit dat er sprake is van een materieel cyberveiligheidsincident waarbij “er een aanzienlijke kans bestaat dat een redelijke aandeelhouder het als belangrijk zou beschouwen” in het geval van het nemen van een investeringsbeslissing.

“Vertragingsverzoeken zullen niet worden verwerkt, tenzij ze onmiddellijk worden ingediend nadat een bedrijf de materialiteit heeft vastgesteld”, merkte de FBI op, eraan toevoegend dat als het bedrijf niet zeker weet of het incident materieel is, ze nog steeds onmiddellijk contact moeten opnemen met de FBI en agenten. zal helpen bepalen of het materieel is.

De beleidsmededeling van de FBI komt iets meer dan een week voordat de nieuwe regels die de SEC eerder dit jaar heeft goedgekeurd op 18 december van kracht worden. Ze vereisen dat bedrijven een 8-K invullen en deze binnen vier werkdagen na een cyberbeveiligingsmelding naar de SEC sturen. incident plaatsvindt.

Het bureau “moedigt bedrijven ten zeerste aan om snel nadat een cyberincident is ontdekt contact op te nemen met de FBI. Dankzij dit vroegtijdige contact kan de FBI zich vertrouwd maken met de feiten en omstandigheden van een incident voordat het bedrijf een materialiteitsbepaling doet.”

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.safetydetectives.com/news/fbi-details-how-companies-can-delay-sec-cyberattack-disclosures/