Quy tắc mới của SEC Hoa Kỳ yêu cầu các công ty đại chúng tiết lộ các rò rỉ an ninh mạng trong 4 ngày

Ủy ban Chứng khoán và Giao dịch Hoa Kỳ đã thông qua các quy tắc vào thứ Tư để yêu cầu các công ty đại chúng tiết lộ trong vòng bốn ngày tất cả các rò rỉ an ninh mạng có thể ảnh hưởng đến lợi nhuận của họ. Sự chậm trễ sẽ được cho phép nếu việc tiết lộ ngay lập tức gây ra rủi ro nghiêm trọng cho an ninh quốc gia hoặc an toàn công cộng.

Các quy tắc mới, được thông qua với tỷ lệ bỏ phiếu 3-2 dọc theo các đảng phái, cũng yêu cầu các công ty giao dịch công khai tiết lộ thông tin hàng năm về quản lý rủi ro an ninh mạng và chuyên môn điều hành trong lĩnh vực này. Ý tưởng này là để bảo vệ các nhà đầu tư.

Việc tiết lộ rò rỉ có thể bị trì hoãn nếu Tổng chưởng lý Hoa Kỳ xác định rằng nó sẽ "gây rủi ro đáng kể cho an ninh quốc gia hoặc an toàn công cộng" và thông báo cho SEC bằng văn bản. Chỉ trong những trường hợp đặc biệt, sự chậm trễ đó mới có thể được kéo dài hơn 60 ngày.

Chủ tịch SEC Gary Gensler cho biết trong một tuyên bố: “Cho dù một công ty bị mất nhà máy trong một vụ hỏa hoạn – hay hàng triệu tệp hồ sơ trong một sự cố an ninh mạng – thì điều đó có thể quan trọng đối với các nhà đầu tư.”

Lesley Ritter, Phó chủ tịch cấp cao của Moody's Investors Service, cho biết các quy tắc sẽ đặt "sự minh bạch hơn vào một rủi ro không nhìn thấy được nhưng ngày càng tăng" và có thể thúc đẩy các cải tiến trong phòng thủ mạng - mặc dù có khả năng đặt ra thách thức lớn hơn cho các công ty nhỏ hơn với nguồn lực hạn chế.”

Về mặt kỹ thuật, đồng hồ không bắt đầu tích tắc vào khoảng thời gian bốn ngày để báo cáo cho đến khi các công ty xác định vi phạm là nghiêm trọng.

Một trong những ủy viên bất đồng chính kiến của Đảng Cộng hòa, Hester Peirce, đã phàn nàn rằng các yêu cầu mới vượt quá thẩm quyền của SEC và "dường như được thiết kế để đáp ứng tốt hơn nhu cầu của những hacker tương lai" - những người có thể hưởng lợi từ thông tin chi tiết về cách các công ty quản lý rủi ro mạng.

Đồng thời, Peirce cho biết trong một tuyên bố, sự cám dỗ đối với SEC để "quản lý vi mô" hoạt động của công ty sẽ chỉ tăng lên.

Một nhân vật hàng đầu trong lĩnh vực an ninh mạng, Giám đốc điều hành của Tenable, Amit Yoran, đã nhiệt tình hoan nghênh quy định mới.

Ông nói trong một tuyên bố: "Trong một thời gian dài, các công ty lớn nhất và quyền lực nhất của Hoa Kỳ đã coi an ninh mạng là điều nên có chứ không phải là điều bắt buộc phải có. Giờ đây, rõ ràng là các nhà lãnh đạo công ty phải nâng cao an ninh mạng trong tổ chức của họ."

Các quy tắc được đề xuất lần đầu tiên vào tháng 3 năm 2022, khi SEC xác định rằng các hành vi vi phạm mạng công ty có nguy cơ leo thang khi số hóa hoạt động và công việc từ xa tăng lên -- và chi phí cho các nhà đầu tư từ các sự cố an ninh mạng tăng lên.”

Mặc dù một số nhà điều hành cơ sở hạ tầng quan trọng và tất cả các nhà cung cấp dịch vụ chăm sóc sức khỏe phải báo cáo các vi phạm theo luật, nhưng không có luật tiết lộ vi phạm liên bang nào tồn tại.

Trong một báo cáo mới được IBM công bố, các nhà nghiên cứu nhận thấy các tổ chức hiện phải trả trung bình 4,5 triệu đô la Mỹ để xử lý các vi phạm - tăng 15% trong ba năm qua. Các nhà nghiên cứu của Viện Ponemon cũng phát hiện ra rằng các doanh nghiệp bị ảnh hưởng thường chuyển chi phí cho người tiêu dùng, những người cũng có thể là nạn nhân bị đánh cắp thông tin cá nhân do vi phạm.

Việc thông qua quy tắc này cũng được đưa ra trong bối cảnh các tiết lộ diễn ra chậm chạp, thường khó hiểu -- một số thông qua hồ sơ của SEC -- từ một vụ vi phạm dữ liệu lớn ảnh hưởng đến hàng trăm tổ chức gây ra bởi cái gọi là vụ tấn công chuỗi cung ứng của tội phạm mạng Nga đối với một chương trình truyền tệp được sử dụng rộng rãi, MOVEit. Vi phạm đã ảnh hưởng đến nhiều trường đại học, quỹ hưu trí lớn, cơ quan chính phủ Hoa Kỳ, hơn 9 triệu người lái xe ở Oregon và Louisiana và các công ty bao gồm BBC, British Airways, Ernst & Young và PricewaterhouseCoopers.

Nhiều nạn nhân của vụ rò rỉ MOVEit đã nhanh chóng chỉ ra rằng họ đã bị lỗi bởi một ứng dụng của bên thứ ba. Quy tắc mới của SEC bao gồm các ứng dụng của bên thứ ba và lưu ý cách các công ty ngày càng dựa vào các dịch vụ đám mây bên ngoài để quản lý và lưu trữ dữ liệu.

Bản tiếng Việt của The Canada Life