Quy tắc tiết lộ mới của Ủy ban Chứng khoán và Sàn giao dịch (SEC) đối với các sự cố mạng thể hiện nỗ lực sâu rộng nhất cho đến nay nhằm bắt buộc chính phủ Hoa Kỳ đảm bảo an ninh mạng. Nếu bạn sở hữu hoặc làm việc tại một công ty giao dịch công khai, nếu bạn xử lý dữ liệu do một công ty giao dịch công khai cung cấp hoặc nếu bạn chỉ cung cấp cho một công ty giao dịch công khai, thì quy tắc mới này sẽ ảnh hưởng đến doanh nghiệp của bạn.

Quy tắc tiết lộ mới của SEC là gì?

Theo báo cáo của Cục Điều tra Liên bang, mới Quy tắc tiết lộ SEC có hiệu lực vào ngày 5 tháng 2023 năm XNUMX. Nói chung, nó yêu cầu những điều sau:

• Mọi công ty giao dịch công khai ở Hoa Kỳ phải gửi biểu mẫu 8K tới cơ sở dữ liệu EDGAR trong vòng 4 ngày kể từ khi phát hiện hoặc nhận thức được bất kỳ sự cố an ninh mạng nào có “tác động nghiêm trọng” đến hoạt động kinh doanh của họ.
• Tổng chưởng lý Hoa Kỳ có thể cho phép trì hoãn báo cáo tối đa 30 ngày, có thể gia hạn thêm 30 ngày nữa nếu sự cố an ninh mạng gây nguy hiểm cho an toàn công cộng hoặc an ninh quốc gia.
• Tổng chưởng lý Hoa Kỳ có thể cho phép trì hoãn thêm 60 ngày trong việc báo cáo chỉ khi có rủi ro đáng kể đối với an ninh quốc gia.

Các doanh nghiệp giao dịch công khai có khả năng xác định liệu một sự cố an ninh mạng có ảnh hưởng nghiêm trọng đến hoạt động hoặc định giá của họ hay không. Trong trường hợp xảy ra, họ phải báo cáo bản chất, phạm vi và thời gian của sự cố, cũng như tác động hoặc tác động tiềm tàng của nó.

Quy tắc SEC áp dụng cho tôi như thế nào nếu tôi không sở hữu một doanh nghiệp giao dịch công khai?

Quy tắc này sẽ được thực thi bởi SEC, cơ quan có khả năng điều tra sâu rộng và khả năng xác định các hình phạt mà những người vi phạm sẽ phải đối mặt. không giống như Quy tắc tự vệ của FTC, đã xác định các hình phạt và quy định, quy tắc tiết lộ của SEC là mở, cả về những gì xác định “tác động vật chất” và về cách cơ quan sẽ theo dõi. Trong trường hợp xấu nhất, các điều tra viên Liên bang có thể đến tận nhà bạn để thu giữ tài liệu và thiết bị, nếu họ tin rằng bạn chịu trách nhiệm về sự cố an ninh mạng ảnh hưởng đến một công ty giao dịch công khai hoặc nếu công ty xác định doanh nghiệp của bạn là nguồn cung cấp dữ liệu sự vi phạm.

Dưới đây là một số ví dụ về cách một công ty có thể vô tình bị cuốn vào cuộc điều tra của SEC:

• Một bên nhận quyền của một công ty quốc gia bị vi phạm dữ liệu làm lộ thông tin tài chính cá nhân của khách hàng.
• Một công ty vận chuyển nhận được một đơn đặt hàng gian lận thông qua một giả vờ tấn công chuyển tiền hoặc vật liệu có giá trị đáng kể cho các tác nhân tội phạm.
• Người lập kế hoạch hội nghị bị vi phạm dữ liệu, làm lộ địa chỉ email, tên người dùng và thông tin đăng nhập của tất cả những người tham dự hội nghị.
• Máy chủ của một đại lý tiếp thị bị xâm phạm, tiết lộ các thông số kỹ thuật bị cấm vận của sản phẩm mới của khách hàng.
• Email của một công ty luật bị xâm phạm, tiết lộ thông tin chi tiết về hồ sơ hoặc vụ kiện bằng sáng chế của khách hàng.
• Mạng không dây của văn phòng bác sĩ bị xâm phạm, cho phép tin tặc đánh cắp thông tin sức khỏe cá nhân của các giám đốc điều hành công ty.
• Hệ thống chuyển tệp của nhà môi giới thế chấp bị xâm phạm, làm lộ giá trị tài sản của các cá nhân do khách hàng giới thiệu.
• Một trang web của công ty bị tấn công, tiết lộ tên người dùng và thông tin đăng nhập quản trị.

Những ví dụ này rơi vào ba loại lớn:

1. Vi phạm dữ liệu làm lộ dữ liệu thuộc về khách hàng của khách hàng.
2. Các cuộc tấn công lấy cắp dữ liệu làm lộ kế hoạch kinh doanh trong tương lai, thông tin nội bộ hoặc tài sản trí tuệ của khách hàng.
3. Trộm cắp thông tin xác thực hoặc trộm cắp dữ liệu cá nhân được bảo vệ làm ảnh hưởng đến lãnh đạo hoặc nhân viên của khách hàng.

Điều gì đó đơn giản như một cuộc tấn công lừa đảo làm lộ danh bạ email của bạn có thể là tài liệu, nếu sau đó tin tặc sử dụng thông tin đó để khởi động một cuộc tấn công nhắm mục tiêu vào khách hàng của bạn hoặc bán thông tin cho người khác. Các cuộc tấn công giả vờ nhằm chuyển hướng các khoản thanh toán, vật liệu hoặc thành phẩm mà khách hàng cần để vận hành có thể là nghiêm trọng nếu chúng có tác động đáng kể đến doanh số bán hàng của khách hàng. Các cuộc tấn công phần mềm tống tiền khiến khách hàng của bạn không thể sử dụng các dịch vụ cần thiết, làm gián đoạn hoạt động của họ, cũng có thể được coi là tác động nghiêm trọng.

Tôi Cần Làm Gì Để Tuân Thủ?

Chỉ các doanh nghiệp giao dịch công khai mới được yêu cầu báo cáo sự cố mạng theo quy tắc tiết lộ, nhưng khả năng báo cáo của họ phụ thuộc vào sự hỗ trợ từ các nhà cung cấp, bên nhận quyền, nhà cung cấp dịch vụ và đối tác của họ. Hãy nhớ rằng nếu doanh nghiệp của bạn là nguồn gây ra sự cố mạng ảnh hưởng đến hoạt động kinh doanh của khách hàng, thì bạn có thể bị điều tra và các chính sách an ninh mạng của bạn sẽ được xem xét kỹ lưỡng. Công ty giao dịch công khai sẽ phải đối mặt với các hình phạt của SEC. Bạn sẽ mất khách hàng và danh tiếng của bạn sẽ bị ảnh hưởng đáng kể.

Không doanh nghiệp nào muốn giao dịch với SEC. Các cuộc điều tra có thể kéo dài, gây gián đoạn và tốn kém. Rất có khả năng các công ty giao dịch công khai sẽ yêu cầu một số trách nhiệm giải trình từ các nhà cung cấp và đối tác, cũng như đảm bảo, có thể là đảm bảo ràng buộc về mặt pháp lý, rằng các sự cố an ninh mạng sẽ được báo cáo. Đối với các công ty không được giao dịch công khai, các yêu cầu tuân thủ có thể sẽ bao gồm những điều sau:

1. Tài liệu về các tiêu chuẩn an ninh mạng hiện tại, bao gồm giám sát sự cố và cập nhật bảo mật.
2. Tài liệu của đào tạo nhân viên an ninh mạng thực hành.
3. Kế hoạch bằng văn bản để báo cáo các sự cố an ninh mạng cho các khách hàng bị ảnh hưởng ngay khi những sự cố này được biết đến.
4. Các kế hoạch bằng văn bản để ứng phó và ngăn chặn các cuộc tấn công mạng, cùng với đánh giá về việc mất dữ liệu hoặc khả năng bị bên thứ ba xâm phạm.

Đừng ngạc nhiên nếu khách hàng yêu cầu tài liệu này. Khách hàng cũng có thể muốn thực hiện các thỏa thuận không tiết lộ bổ sung (NDA) bao gồm ngôn ngữ cụ thể xung quanh các sự cố mạng hoặc yêu cầu các biện pháp bảo vệ này được nêu trong hợp đồng dịch vụ hoặc sửa đổi hợp đồng.

SEC sẽ thực thi Quy tắc tiết lộ sự cố mạng như thế nào?

Không thể biết việc thực thi sẽ như thế nào, vì SEC có xu hướng xử lý các vi phạm trên cơ sở từng trường hợp cụ thể. Dựa trên hành vi trong quá khứ xung quanh các quy định mới, SEC có khả năng đưa ra cảnh báo trong một khoảng thời gian đối với những người vi phạm lần đầu hoặc vi phạm nhỏ. Nếu một vi phạm nghiêm trọng xảy ra hoặc nếu một công ty giao dịch công khai liên tục vi phạm quy tắc, thì một cuộc điều tra mở rộng với các hình phạt đáng kể sẽ diễn ra. Điều này sẽ gây ra tình trạng hỗn loạn cho các dịch vụ khiến các nhà cung cấp phải vật lộn để theo kịp nhu cầu và các công ty phải tranh giành để tìm các nhà cung cấp có thể giúp họ. Tốt hơn hết là bạn nên xem xét vấn đề này một cách nghiêm túc ngay bây giờ, đánh giá nhu cầu của mình và nhận hỗ trợ an ninh mạng chuyên nghiệp nếu cần.

Lưu ý rằng quy tắc tiết lộ mới không yêu cầu chuyên gia có kinh nghiệm hoặc được chứng nhận để giám sát hoặc báo cáo các sự cố an ninh mạng. Hầu hết các doanh nghiệp nhỏ có thể tự quản lý việc tuân thủ hoặc với sự trợ giúp của một VISO.

Tại sao FTC lại thêm Quy tắc báo cáo này?

SEC đã vạch ra hai nhu cầu thúc đẩy quy tắc công bố thông tin mới. Đầu tiên, SEC cũng như nhiều tổ chức thực thi pháp luật tin rằng tội phạm mạng chưa được báo cáo đầy đủ. Bằng cách đưa thẩm quyền của họ vào lĩnh vực này, SEC tìm cách buộc mức độ tuân thủ báo cáo cao hơn, loại bỏ xu hướng của một số doanh nghiệp lặng lẽ trả tiền chuộc hoặc bỏ qua các cuộc xâm nhập mạng có vẻ nhỏ.

Thứ hai, SEC cảm thấy rằng báo cáo hiện tại, gộp các sự cố an ninh mạng với các thách thức kinh doanh khác, đã không cung cấp đủ thông tin cho các cổ đông. Báo cáo tiêu chuẩn sẽ cho phép các cổ đông biết tần suất một doanh nghiệp gặp phải sự cố an ninh mạng và mức độ nghiêm trọng của chúng, cung cấp một điểm dữ liệu khác mà các nhà đầu tư có thể sử dụng để đánh giá các cơ hội.

Là mục tiêu cuối cùng, rộng lớn hơn không được nêu rõ, quy tắc tiết lộ khiến bất kỳ ai làm việc với một công ty giao dịch công khai phải lưu ý rằng các tương tác của khách hàng của họ đang chịu sự giám sát của Liên bang. Điều này có thể nhằm thúc đẩy việc áp dụng nhiều hơn các phương pháp hay nhất về an ninh mạng trên tất cả các doanh nghiệp Hoa Kỳ, điều này sẽ khiến bọn tội phạm khó thực hiện các cuộc tấn công hơn. Về vấn đề đó, đây là nỗ lực quan trọng nhất cho đến nay của chính phủ Hoa Kỳ nhằm thiết lập và yêu cầu an ninh mạng như một yếu tố cơ bản của hoạt động kinh doanh.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Ô tô / Xe điện, Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• ChartPrime. Nâng cao trò chơi giao dịch của bạn với ChartPrime. Truy cập Tại đây.
• BlockOffsets. Hiện đại hóa quyền sở hữu bù đắp môi trường. Truy cập Tại đây.
• nguồn: https://www.finextra.com/blogposting/24765/the-new-sec-disclosure-rule-will-impact-nearly-every-us-business?utm_medium=rssfinextra&utm_source=finextrablogs