ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) tarafından geçen yıl uygulamaya konulan yeni siber güvenlik açıklama kuralları, kamu şirketlerinden gelen olay raporlarında önemli bir artışa neden oldu, ancak bir yasaya göre raporların çoğu bu olayların maddi etkisini içermiyor finans ve birleşme ve satın alma faaliyetlerinde uzmanlaşmış firma.
Paul Hastings LLP’nin analizi Açıklama kuralının yürürlüğe girdiği 2023 yılından bu yana siber güvenlik olay raporlarının %60 oranında arttığını tespit etti. SEC düzenlemesi, kamu şirketlerinin önemli siber güvenlik olaylarını, önemliliğin belirlenmesinden sonraki dört iş günü içinde açıklamasını gerektiriyor. Bu örnekte önemli olan, olayın birinin şirkete yatırım yapıp yapmama kararını etkileyebileceği anlamına gelir. Önemliliğin belirlenmesi, bir şirketin operasyonları, müşteri ilişkileri, finansal etkisi, itibarı veya marka algısı ve dava veya düzenleyici işlem potansiyeli üzerindeki anlık etkilerin ve uzun vadeli etkilerin dikkate alınmasını içerir.
Yukarıdaki grafikte de görüldüğü gibi düzenlemenin etkisi birçok sektörü kapsamaktadır. Finansal hizmetler sektörü en fazla sayıda açıklama raporuna sahip olsa da, sanayi ve sağlık hizmetleri de büyük ölçüde etkilendi. Otomotiv perakendeciliği ve perakende kuruluşları da siber saldırılara maruz kaldı ve bu olayları bildirmek zorunda kaldı.
Açıklamaların %10’dan azı olayların maddi etkilerini ayrıntılı olarak açıkladı; bu da şirketlerin ayrıntılı raporlama ile dahili operasyonların ayrıntılarını koruma arasında denge kurmakta zorluk çektiğini gösteriyor. Raporda, Basset Furniture Industries’in toparlanma çabaları tamamlanana kadar iş operasyonlarının maddi olarak etkilendiğini belirtmesi veya First American Financial’ın dördüncü çeyrek mali sonuçları için düzeltilmiş hisse başına kazanç açıklaması ve şirketin zararlarının miktarının belirlenmesi gibi önemli kabul edilen örnekler yer aldı. SEC kayıtları.
Bazı şirketler (%13) olayla ilgili daha fazla ayrıntı sağlamak için bir basın bülteni yayınlamayı veya bir blog gönderisine referans vermeyi tercih etti.
Üçüncü Taraf İhlali Etkisi
Rapordaki dört olaydan biri üçüncü taraf ihlallerinden kaynaklanıyor. Şirketler, özellikle de diğer mağdurların olayları ifşa etmesi durumunda, üçüncü taraf ihlallerini ifşa edip etmeme konusunda kararsız kalıyor. Fidye yazılımı saldırısından en çok otomotiv perakende sektörü etkilendi otomotiv yazılım sağlayıcısı CDK Global Haziran ayında. Şirket 25 milyon dolar fidye ödedi. CDK’nın ana şirketi Brookfield Business Partners, Temmuz ayında yaptığı açıklamada şirketin “bu olayın maddi bir etki yaratmasını beklemediğini” söyledi. Küçük otomotiv şirketlerinin çoğu, CDK olayının maddi etki yarattığını iddia etti.
SEC yakın zamanda dört SolarWinds müşterisiyle, siber saldırıdan nasıl etkilendikleriyle ilgili yanıltıcı açıklamalar yaptıkları iddiasıyla yaptırım anlaşmaları yaptığını duyurdu. Dört kişiden ikisi olayları kamuoyuna açıkladı ancak tehdit aktörünün adı, çalınan bilgilerin niteliği ve erişilen hesap sayısı gibi o sırada bilinen tüm maddi gerçekleri açıklamadı. Diğer ikisi olayları açıklamadı ve SEC, etkiyi açıklamaları gerektiğini söyledi.
Hız mı, Daha Fazla Ayrıntı mı?
Açıklamaların dörtte üçünden fazlası (%78) olayın ortaya çıkmasından sonraki sekiz gün içinde yapıldı. SEC, açıklama için son tarihin olayın ortaya çıkmasından sonraki dört iş günü olmadığını, bunun yerine önemliliğin belirlendiği zaman olduğunu belirtti ancak çoğu şirket hızlı hareket etmeyi tercih etti. Üçüncüsü (%32) keşiften sonraki dört gün içinde başvuruda bulundu. Bu, şirketlerin gecikmiş açıklama nedeniyle SEC tarafından para cezasına çarptırılmamak için hızlı bir şekilde rapor verdiklerini, ancak olayın tam sonuçlarını henüz belirlemedikleri için çok hızlı rapor verdiklerini gösteriyor. Bu, şirketlerin %42’sinin aynı olay için her seferinde ölçülebilir kayıp, müşterinin kişisel verileri üzerindeki etkisi ve bireylere ve düzenleyici kurumlara bildirim gibi daha fazla ayrıntı sağlayan birden fazla rapor sunmasının nedeni olabilir.
Raporun yazarları, “Şirketler, ifşa kontrollerini değerlendirmeye devam etmeli ve bir siber olay durumunda bu tür önemlilik kararlarını vermek için gerekli karar alma sürecini uygulamak için masa üstü tatbikatlara katılmalı” dedi.
