尽管美国证券交易委员会SEC近来采取了一系列行动,显示出其在披露和合规性方面的执法力度,许多公司在如何以及何时报告网络安全事件时依然感到不知所措。
“确定事件的重大性并非易事,应该团队协作,不应孤立判断。” Joe Shusko,Baker Tilly合伙人
自2015年获得执法权以来,SEC已采取超过200起执法行动,其中四分之一与网络安全事件有关。SEC对那些被认为误导投资者的公司提起了越来越多的指控。这些企业被认为未能正确披露与其经营相关的重大网络事件。
例如,在2024年12月,SEC对Flagstar因未能准确报告2021年网络攻击即Citrix Bleed所造成的数据泄露提起了355百万美元的和解罚款。调查发现该公司虽报告了事件但未披露约150万用户的敏感数据被泄露。
另外,在几个月前,SEC对四家公司因与SolarWinds黑客攻击相关的“误导性网络信息”处以700万美元的罚款。这四家企业Avaya、Check Point、Mimecast和Unisys因在披露2020年软件泄露对各自业务的影响方面存在误导而受到指责。
前Uber首席安全官Joe Sullivan指出,尽管执法行动日益增多,但企业如何实现合规依然充满不确定性。他表示:“缺乏清晰性导致了恐慌。政府通过执法行动进行规范,但每个案件信息不全,造成了广泛的推测。”
根据Baker Tilly的Shusko的说法,SEC未来可能会发布更新和更详细的披露规则指导,但即使在令局势明朗之前,违规的组织也不太可能得到豁免。
提交给SEC的规定没有明确的补充指导,未来是否会修改网络事件的披露规则,仍不确定。
目前,CISOs及其同事必须有效应对网络安全事件或泄露的报告要求。Shusko建议,将合规准备纳入任何事件响应计划中是必要的。
当企业必须披露网络事件时,应尽力做到合规和真实,同时避免发布可能表明存在安全漏洞的信息,从而减少未来潜在攻击者的利用机会。
“组织在透明性方面应该有所支持,”Shusko说。
Edwards补充道:“建立必要的流程,包括确认找到向SEC提交表格的路径,尽量提前填写所需信息。这样,当不可预料的事情发生时,就能减少恐慌和错误。”
最近的罚款也为SEC对其他不合规组织采取执法行动奠定了基础,虽然SEC的披露规则主要针对上市公司,但更广泛的组织也可能受到影响。
由于披露的清晰性很多时候并非一帆风顺,准备工作显得至关重要,特别是通过桌面演练等方式进行演练。
Shusko表示:“尽管披露规则主要针对上市公司,但这并不意味着非上市公司被排除在外。上市公司可能会期望其商业合作伙伴报告和沟通可能影响其组织及客户的网络攻击。”
Baker Tilly建议企业通过网站降低主要IT合规风险并满足SEC的网络披露规则。
由于披露规则存在不同的解读,一些企业可能会被迫披露不太严重的安全事件。举例而言,Shusko提到,即
npv加速器
