Σε μια κίνηση για να εμποδίσει τις δημόσιες εταιρείες να καθυστερούν τις ειδήσεις σχετικά με τις κυβερνοεπιθέσεις, η Επιτροπή Ασφαλείας και Χρηματιστηρίου των ΗΠΑ όρισε τετραήμερη προθεσμία για τη γνωστοποίηση “σημαντικών περιστατικών κυβερνοασφάλειας”. Ένας γενικός εισαγγελέας των ΗΠΑ θα μπορούσε δυνητικά να καθυστερήσει αυτή την αποκάλυψη, εάν αυτό θα οδηγούσε σε “σημαντικό κίνδυνο για την εθνική ασφάλεια ή τη δημόσια ασφάλεια”. Διαφορετικά, οι κανόνες θα χρησιμεύσουν ως ένας νέος αυστηρός οδηγός – αν και ελαφρώς λιγότερο περιοριστικός από την προθεσμία της ΕΕ GDPR για τις κυβερνοεπιθέσεις των μόλις τριών ημερών.
Η είδηση έρχεται μετά την κριτική που δέχθηκε η Microsoft από ειδικούς σε θέματα ασφάλειας επειδή χρειάστηκε εβδομάδες για να επιβεβαιώσει μια επίθεση κατά του Outlook και άλλων διαδικτυακών υπηρεσιών. “Πραγματικά δεν έχουμε τρόπο να μετρήσουμε τον αντίκτυπο [της επίθεσης] εάν η Microsoft δεν παρέχει αυτές τις πληροφορίες“, δήλωσε στο AP τον Ιούνιο ο Jake Williams, ερευνητής κυβερνοασφάλειας και πρώην χάκερ της NSA.
Ενώ οι κανόνες του GDPR αφορούν περισσότερο την προστασία του κοινού, η SEC φαίνεται να επικεντρώνεται περισσότερο στους επενδυτές: “Επί του παρόντος, πολλές δημόσιες εταιρείες παρέχουν πληροφορίες για την κυβερνοασφάλεια στους επενδυτές”, δήλωσε ο πρόεδρος της SEC Gary Gensler σε δήλωσή του. “Νομίζω, ωστόσο, ότι τόσο οι εταιρείες όσο και οι επενδυτές θα ωφελούνταν εάν η γνωστοποίηση αυτή γινόταν με έναν πιο συνεπή, συγκρίσιμο και χρήσιμο για τη λήψη αποφάσεων τρόπο”.
Οι εταιρείες τεχνολογίας έχουν πιέσει κατά των κανόνων της SEC από τότε που ανακοινώθηκαν αρχικά πέρυσι, γεγονός που οδήγησε τελικά στη συμπερίληψη ρήτρας καθυστέρησης, αναφέρει το Bloomberg. Επιπλέον, το Συμβούλιο Βιομηχανίας Τεχνολογίας Πληροφοριών υποστήριξε ότι η προθεσμία των τεσσάρων ημερών είναι πολύ σύντομη, δεδομένου ότι οι εταιρείες ενδέχεται να μην γνωρίζουν αρκετά για την κυβερνοεπίθεση μέχρι τότε.
