La Securities and Exchange Commission (SEC) di Gary Gensler ha cercato di essere dura con i cattivi attori del mondo online. Ora, la SEC sta adottando nuove severe misure per combattere gli attacchi informatici.
In base alle nuove regole , i dichiaranti dovranno essere più disponibili riguardo alle violazioni informatiche che subiscono. Dovranno affrontare requisiti di segnalazione più rigidi. Comprese le divulgazioni annuali alla SEC sui sistemi e sui protocolli che hanno in atto per contrastare le violazioni. Non ci possono essere dubbi sulla gravità delle vulnerabilità della sicurezza informatica . Eppure alcuni potrebbero ancora mettere in dubbio le priorità della SEC.
I requisiti di segnalazione SEC sono rigorosi
I regolatori di Gensler fanno sul serio e hanno codificato la nuova politica con un requisito scritto. Quando i registranti compilano il modulo 8-K, troveranno un nuovo elemento, 1.05. Lì dovranno fornire i dettagli di qualsiasi incidente informatico con quello che l'agenzia considererebbe un "impatto materiale".
Il modulo richiederà informazioni sugli "aspetti materiali della natura, della portata e della tempistica dell'incidente, nonché sul suo impatto materiale o sull'impatto materiale ragionevolmente probabile sul dichiarante", secondo l'annuncio della SEC.
I dichiaranti avranno quattro giorni dopo l'incidente per fornire un deposito 1.05 con le informazioni richieste. Sebbene la SEC possa concedere più tempo quando la divulgazione potrebbe avere implicazioni per la sicurezza nazionale.
In parole povere, ora le regole della strada sono diverse. Non puoi subire una violazione delle tue difese informatiche e andare avanti come se nulla fosse accaduto che potrebbe preoccupare le autorità di regolamentazione o i tuoi investitori.
Il regolamento SK punto 106 impone ulteriori requisiti. Le aziende e gli scambi dovranno fornire molti dati sui sistemi che hanno in atto per individuare e contrastare le minacce informatiche. Compreso il livello di attenzione del loro consiglio di amministrazione alla questione.
I rapporti annuali dovranno offrire tutte queste informazioni sul modulo 10-K. Gli emittenti privati esteri devono far fronte a obblighi di informativa simili, ma separati.
Attacchi informatici in aumento
Mentre il problema che la SEC si propone di affrontare qui è abbastanza reale, le sue nuove regole possono far sorgere sentimenti di "Medico, guarisci te stesso!"
Vale a dire, gli attacchi informatici non prendono di mira solo aziende e scambi. Colpiscono duramente i governi. Molti governi negli ultimi mesi hanno fatto un pessimo lavoro nell'erezione di firewall contro le violazioni informatiche.
Ad esempio, un recente studio della società di sicurezza informatica Surfshark ha rilevato che più attacchi informatici hanno colpito gli uffici governativi nel primo trimestre del 2023 che in tutto il 2022.
Presentando questi risultati, Surfshark ha attinto ai dati del Center for Strategic and International Studies (CSIS).
Le agenzie statunitensi subiscono violazioni
I risultati del CSIS sono sorprendenti. Non più tardi del mese scorso, il Dipartimento dell'Energia e altre agenzie federali statunitensi hanno subito una grave violazione informatica. I cattivi attori erano, presumibilmente, hacker con legami con la Russia .
"I criminali informatici hanno preso di mira una vulnerabilità nel software ampiamente utilizzato dalle agenzie, secondo un agente di sicurezza informatica statunitense", afferma il rapporto CSIS.
E, nel marzo 2023, sono emerse notizie secondo cui un'agenzia federale statunitense senza nome ha subito una violazione per mano di hacker affiliati al Vietnam. L'attacco non è stato un incidente rapido e casuale, ma si è protratto da novembre 2022 a gennaio 2023. Secondo quanto riferito, i malintenzionati hanno trovato una falla che ha consentito loro di installare malware nel server Microsoft su cui si basava l'agenzia.
Se le agenzie governative non sono al sicuro, nessuno di noi lo è. È bene che la SEC dimostri di essere dura con la criptovaluta e altri scambi. Ma alcuni potrebbero chiedersi se lo stia facendo ignorando problemi più urgenti.
Il postSEC impone regole di sicurezza informatica più severe man mano che le violazioni si intensificano è apparso per la prima volta su BeInCrypto .