Американские банковские и финансовые отраслевые группы обратились с петицией в Комиссию по ценным бумагам и биржам (SEC) с просьбой отменить правило обязательного раскрытия информации об инцидентах кибербезопасности.
Пять банковских групп США во главе с Американской банковской ассоциацией попросили регулятора отменить это правило в письме от 22 мая, утверждая, что раскрытие информации об инцидентах кибербезопасности «непосредственно противоречит требованиям конфиденциальной отчетности, предназначенной для защиты критически важной инфраструктуры и предупреждения потенциальных жертв».
Группа, в которую также вошли Ассоциация индустрии ценных бумаг и финансовых рынков, Банковский политический институт, Независимые банки Америки и Институт международных банкиров, заявила, что это правило подрывает усилия регулятора по укреплению национальной кибербезопасности.
Правило SEC по управлению рисками в области кибербезопасности, опубликованное в июле 2023 года, требует от компаний оперативно раскрывать информацию об инцидентах кибербезопасности, таких как утечки данных или взломы. Однако банковские группы утверждают, что это правило изначально было ошибочным и оказалось проблемным на практике после вступления в силу.
Банковские организации заявили, что «сложный и узкий механизм задержки раскрытия информации» мешает реагированию на инциденты и работе правоохранительных органов, а также создает «путаницу на рынке» между обязательным и добровольным раскрытием информации.
Публичное раскрытие также было «использовано в качестве инструмента вымогательства киберпреступниками, чтобы добиться своих злонамеренных целей», а преждевременное раскрытие усугубляет проблемы со страхованием и ответственностью для компаний и «ставит под угрозу откровенную внутреннюю коммуникацию и обычный обмен информацией», заявила группа.
Группы конкретно требуют отменить «пункт 1.05» из правил SEC для отчетности по форме 8-K и аналогичные требования отчетности, применимые к форме 6-K.
Форма 8-K используется для публичного уведомления инвесторов в публичных компаниях США об определенных событиях, включая инциденты кибербезопасности, которые могут быть важными для акционеров или SEC.
«Критически важно, что без пункта 1.05 интересы инвесторов все равно будут защищены, и мы считаем, что им лучше послужит существующая система раскрытия информации о существенных событиях, которая может включать существенные инциденты кибербезопасности», - заявили группы.
Полная петиция включала примеры путаницы со стороны участников, конкретные случаи атак программ-вымогателей и задокументированные конфликты нормативных актов.
Публичные компании в сфере криптовалют пострадали
Это требование также затрагивает публично котирующиеся компании в сфере криптовалют, такие как Coinbase, которая ранее в этом месяце сообщила, что хакеры подкупили сотрудников службы поддержки, чтобы те раскрыли данные ее пользователей.
После этого компания столкнулась как минимум с семью исками в связи с этим раскрытием информации.
Coinbase заявила, что отклонила требование выкупа в размере 20 миллионов долларов после того, как сотрудники раскрыли данные пользователей в результате крупной фишинговой атаки, которая, по словам биржи, может стоить ей до 400 миллионов долларов убытков.
Если SEC отменит это требование, это может дать таким компаниям, как Coinbase, больше времени для раскрытия информации об инцидентах кибербезопасности общественности.
