Kumpulan advokasi industri perbankan dan kewangan Amerika telah memohon kepada Suruhanjaya Sekuriti dan Bursa (SEC) untuk membatalkan keperluan pendedahan awam insiden keselamatan siber.
Lima kumpulan perbankan AS yang diketuai oleh Persatuan Bankers Amerika meminta pengawal selia untuk menghapuskan peraturannya dalam surat bertarikh 22 Mei, dengan hujah bahawa pendedahan insiden keselamatan siber "bercanggah secara langsung dengan keperluan pelaporan sulit yang bertujuan melindungi infrastruktur kritikal dan memberi amaran kepada mangsa yang berpotensi."
Kumpulan ini, yang juga termasuk Persatuan Industri Sekuriti dan Pasaran Kewangan, Institut Dasar Bank, Bank Komuniti Bebas Amerika dan Institut Bank Antarabangsa, mendakwa bahawa peraturan tersebut menjejaskan usaha pengawalseliaan untuk meningkatkan keselamatan siber negara.
Peraturan Pengurusan Risiko Keselamatan Siber SEC, yang diterbitkan pada Julai 2023, memerlukan syarikat untuk segera mendedahkan insiden keselamatan siber seperti pelanggaran data atau penggodaman. Namun, kumpulan perbankan berpendapat bahawa peraturan ini cacat sejak awal dan telah terbukti bermasalah dalam praktik sejak berkuat kuasa.
Badan perbankan mengatakan bahawa "mekanisme penangguhan pendedahan yang kompleks dan sempit" mengganggu tindak balas insiden dan penguatkuasaan undang-undang serta mencipta "kekeliruan pasaran" antara pendedahan wajib dan sukarela.
Pendedahan awam juga telah "dijadikan senjata sebagai kaedah pemerasan oleh penjenayah ransomware untuk mencapai tujuan jahat," dan pendedahan awal memburukkan isu insurans dan liabiliti bagi syarikat serta "berisiko menyejukkan komunikasi dalaman yang jujur dan perkongsian maklumat rutin," dakwa kumpulan tersebut.
Kumpulan ini secara khusus mahu "Item 1.05" dibatalkan daripada peraturan SEC untuk pelaporan Borang 8-K dan keperluan pelaporan selari yang terpakai kepada Borang 6-K.
Borang 8-K digunakan untuk memberitahu pelabur dalam syarikat awam AS mengenai peristiwa tertentu, termasuk insiden keselamatan siber, yang mungkin penting kepada pemegang saham atau SEC.
"Secara kritikal, tanpa Item 1.05, kepentingan pelabur masih akan dilindungi, dan kami percaya mereka akan lebih baik dilayani melalui rangka kerja pendedahan sedia ada untuk melaporkan maklumat material, yang mungkin termasuk insiden keselamatan siber material," kata kumpulan tersebut.
Petisyen penuh termasuk contoh kekeliruan daripada peserta, insiden tertentu serangan ransomware dan konflik pengawalseliaan yang didokumentasikan.
Syarikat mata wang kripto awam terjejas
Keperluan ini juga memberi kesan kepada syarikat mata wang kripto yang disenaraikan secara awam seperti Coinbase, yang mendedahkan awal bulan ini bahawa penggodam telah merasuah kakitangan sokongannya untuk membocorkan data pengguna.
Pendedahan tersebut menyebabkan syarikat itu dikenakan sekurang-kurangnya tujuh tuntutan mahkamah berhubung pendedahan tersebut.
Coinbase mengatakan bahawa ia menolak tuntutan tebusan $20 juta selepas kakitangan membocorkan data pengguna dalam serangan phishing besar, yang menurut bursa itu boleh menelan kos sehingga $400 juta dalam kerugian.
Jika SEC membatalkan keperluan tersebut, ia mungkin memberi syarikat seperti Coinbase lebih masa untuk mendedahkan insiden keselamatan siber kepada orang awam.
Majalah: Beruang Bitcoin mengintai $69K, CZ menafikan khabar angin 'fixer' WLF: Hodler’s Digest