Yhdysvalloissa toimivien yritysten on jatkossa ilmoitettava niihin kohdistuneista merkittävistä kyberhyökkäyksistä julkisesti neljän päivän kuluessa hyökkäysten vaikutusten selviämisestä, kertoo Bloomberg.
Yritykset voivat kuitenkin lykätä tietojen julkistamista, jos tietomurron paljastaminen aiheuttaa merkittävän riskin kansalliselle turvallisuudelle tai yleiselle turvallisuudelle.
Linjaus on osa Yhdysvaltojen arvopaperi- ja pörssikomission eli SEC:n uutta säädöstä, jonka tarkoituksena on lisätä kyberturvallisuuden läpinäkyvyyttä.
Viraston mukaan säädöksen myötä saatavilla tiedoilla pyritään myös korjaamaan puutteita nykyisissä kyberturvallisuutta koskevissa tietokannoissa.
Ongelmana yritysten tietoturvaraportoinnissa on ollut, että murroista ilmoittamisessa on ollut välillä valtavia eroja, ja jotkin murrot ovat jääneet ikuisesti pimentoon.
Nykyinen raportointivelvollisuus kattaa säädöstä kannattaneen komissaarin Jaime Lizárragan mukaan esimerkiksi verkkohyökkäykset, joihin liittyy henkisen omaisuuden varastaminen, liiketoiminnan keskeytyminen tai maineelle aiheutunut vahinko.
SEC:n pyrkii säädöksellä estämään markkinoiden manipulointia ja sijoittajien harhaanjohtamista.
“Riski, että suuri osa yrityksen asiakkaista menettää uskonsa sen kykyyn suojella arkaluonteisia henkilötietoja, voi varmasti vaikuttaa olennaisesti sijoittajan päätökseen sijoittaa yritykseen”, Lizárraga kertoi Bloombergille.
Uudella säädöksellä on kriitikkoja sekä muiden komissaarien että yritysten keskuudessa. Myös ammattijärjestö Information Technology Industry Council kritisoi neljän päivän määräaikaa liian lyhyeksi, koska yritykset eivät luultavasti tiedä tapahtumasta siinä vaiheessa tarpeeksi.
Joka tapauksessa sääntöä noudattamatta jättävät yritykset voivat joutua SEC:n tutkinnan kohteeksi ja saada sakkoja sijoittajien harhaanjohtamisesta.
Kuva: Bonnie Kittle