ΑρχικήsecuritySEC: Οι δημόσιες εταιρείες να αναφέρουν τις παραβιάσεις εντός τεσσάρων ημερών

SEC: Οι δημόσιες εταιρείες να αναφέρουν τις παραβιάσεις εντός τεσσάρων ημερών

Η Επιτροπή Κεφαλαιαγοράς των ΗΠΑ (SEC) πρότεινε τροποποιήσεις κανόνων που απαιτούν από τις publicly traded εταιρείες να αναφέρουν παραβιάσεις δεδομένων και άλλα περιστατικά ασφάλειας στον κυβερνοχώρο εντός τεσσάρων ημερών από τη στιγμή που θα κριθούν ως ουσιώδες περιστατικό.

Δείτε επίσης: Ρώσοι hackers “χτυπούν” μέσω ransomware επίθεσης με χρήση open-source εργαλείων

SEC

Σύμφωνα με τις πρόσφατα προτεινόμενες τροποποιήσεις στους ισχύοντες κανόνες, οι εισηγμένες εταιρείες θα πρέπει να παρέχουν πληροφορίες σε περιοδικές καταθέσεις εκθέσεων σχετικά με τις πολιτικές, τις εφαρμοσμένες διαδικασίες και τα μέτρα που λαμβάνονται για τον εντοπισμό και τη διαχείριση κινδύνων κυβερνοασφάλειας στο Form 8-K.

Οι τροποποιημένοι κανόνες θα δίνουν στις εταιρείες εντολή να παρέχουν ενημερώσεις σχετικά με παραβιάσεις ασφαλείας που έχουν αναφερθεί στο παρελθόν.

Δείτε επίσης: Μέλος του REvil ransomware εκδόθηκε στις ΗΠΑ για να δικαστεί για την επίθεση Kaseya

Η SEC θέλει οι δημόσιες εταιρείες να μοιράζονται τακτικά γνωστοποιήσεις σχετικά με το ρόλο της διοίκησης τους στην εφαρμογή διαδικασιών και πολιτικών κυβερνοασφάλειας, καθώς και σχετικά με την τεχνογνωσία του διοικητικού συμβουλίου τους στον τομέα της ασφάλειας στον κυβερνοχώρο και την επίβλεψη του κινδύνου για την ασφάλεια στον κυβερνοχώρο.

Έγκαιρη γνωστοποίηση για την ενημέρωση των επενδυτών

Αυτές οι προτεινόμενες τροποποιήσεις έχουν σχεδιαστεί για να παρέχουν στους επενδυτές έγκαιρες ειδοποιήσεις για παραβιάσεις ασφάλειας που επηρεάζουν τις εισηγμένες εταιρείες και να τους ενημερώνουν καλύτερα σχετικά με τη διαχείριση και τη στρατηγική τους για την ασφάλεια στον κυβερνοχώρο.

Εάν οι κανόνες αναθεωρηθούν όπως θέλει η SEC, οι νέοι κανονισμοί [PDF] θα απαιτούν την αποκάλυψη των ακόλουθων πληροφοριών σχετικά με τις παραβιάσεις (εάν οι πληροφορίες είναι διαθέσιμες όταν υποβάλλονται τα 8-K forms):

  • Πότε ανακαλύφθηκε το περιστατικό και αν είναι σε εξέλιξη
  • Σύντομη περιγραφή της φύσης και της έκτασης του συμβάντος
  • Εάν οποιαδήποτε δεδομένα κλάπηκαν, τροποποιήθηκαν, υποκλάπηκαν ή χρησιμοποιήθηκαν για οποιονδήποτε άλλο μη εξουσιοδοτημένο σκοπό
  • Η επίδραση του συμβάντος στις λειτουργίες του registrant
  • Εάν ο registrant έχει αποκαταστήσει ή αποκαθιστά επί του παρόντος το συμβάν.

Δείτε επίσης: Malware στοχεύει υποστηρικτές και μέλη του IT Army της Ουκρανίας

Ωστόσο, οι εταιρείες που επηρεάζονται από μια παραβίαση δεν αναμένεται να αποκαλύψουν τεχνικές πληροφορίες σχετικά με την προγραμματισμένη απόκριση στο περιστατικό ή λεπτομέρειες σχετικά με πιθανές ευπάθειες που θα επηρεάσουν την απόκρισή τους ή την αποκατάσταση του συμβάντος.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS