证监会规定上市公司必须在4天内报告黑客攻击事件 - 彭博社

遭受网络攻击的公司面临一个四天的期限，在周三由美国证券交易委员会批准的有争议的新规定下公开披露重大影响。去年提出的这些规定遭到了贸易组织和企业的激烈反对，要求上市公司在确认网络攻击对其造成实质影响后的四天内提交网络攻击的详细信息。

市场监管机构的披露规则是其在多年来不断遭受来自犯罪团伙和国家支持的黑客的无情攻击之后，为提高对网络威胁的透明度而做出的最新努力。根据该机构的说法，它们还试图解决现有网络安全披露中的漏洞。

目前，上市公司依赖于美国证券交易委员会的指导方针来确定何时应对被认为对投资者相关的网络风险和事件进行披露。这导致了网络事件报告的混乱。报告事件的公司对影响和应对措施提供了不同程度的细节。有些网络事件没有及时报告，而其他一些则根本没有披露。

潜在延迟

如果披露有关黑客攻击的信息可能对国家安全或公共安全构成重大风险，由美国司法部长确定，公司可以延迟披露。这种延迟是对最新版本规则的补充，是对委员会最初提议的商业关切的回应。商业团体要求增加延迟条款，认为过早公开网络安全漏洞或事件可能会妨碍正在进行的执法调查。

“一个大部分客户对企业保护敏感个人信息能力失去信心的风险，对投资者决定是否投资于一家公司可能具有重要意义，”支持新规定的三名委员之一 Jaime Lizárraga 委员说。“尤其是在后疫情时代，我们国家的工作人员花费更多时间远程工作。”

他说，值得报告的事件可能包括涉及知识产权盗窃、业务中断或声誉损害的网络攻击。如果司法部长通知证券交易委员会披露可能对国家安全构成风险，那么延迟披露网络攻击的规定“足够狭窄”，在保护投资者的权益和司法部围绕国家安全和公共安全的优先事项之间取得了适当的平衡，Lizárraga 说。

前证券交易委员会网络安全顾问、现为国家董事协会提供指导的 Christopher Hetner 说，“这项规定的结果将是在披露方面创造更多正常性。” Hetner 说，现有的网络安全披露非常零散，不像财务报表那样由于共同的会计准则而保持一致。

反对这些规定的两名委员之一 Hester Peirce 委员担心，短暂的披露网络事件的时间可能会让投资者得到不准确的信息。规定允许公司使用最初不可用的新信息更新其事件披露。

在投票之前，其他人对这项提议提出了反对意见。例如，贸易协会信息技术行业协会批评了四天的截止期限太短，因为公司在那时很可能对事件知之甚少。

第三方供应商

荷兰骑士合伙人、前联邦检察官沙杜尔·德赛表示，公司担心证监会在定义事件如何在监管机构看来变得重要方面含糊其辞。“在这些公司不知道所有细节的情况下，8K报告中需要多少细节？”他在周二的一次采访中说。

一些人敦促证监会包括一个针对源自第三方（如软件或云存储提供商）的黑客攻击的例外条款。没有这个，公司将不得不更好地与供应商协调，Debevoise & Plimpton LLP合伙人、前网络犯罪检察官埃雷兹·利伯曼在周三的一次采访中说。

“第三方风险管理计划将不得不加强，以确保您迅速了解事件，”他说。利伯曼表示，在勒索软件攻击仍在进行时披露其影响也可能使黑客在谈判中“占上风”，这种谈判通常需要两到三周时间。企业通常在与黑客谈判时试图淡化攻击的影响，他说。

证监会提出了另一项针对投资顾问和基金的网络报告规则，以及一项类似的规则适用于证券交易所和其他美国证券市场参与者。

Nasdaq, NYSE面临SEC规则下的网络入侵报告责任

未能如实提供有关网络事件信息的公司可能面临SEC的调查和罚款，因为这可能误导投资者。例如，软件公司SolarWinds Corp.已被告知可能会受到机构执法行动的通知，原因是在2020年披露的一场大规模黑客攻击活动侵入了美国政府和美国企业的计算机系统。