31 января 2024 года ведущие торговые организации банковского сектора США, включая Американскую банковскую ассоциацию (ABA), Институт банковской политики (BPI) и Ассоциацию индустрии ценных бумаг и финансовых рынков (SIFMA), направили формальную петицию в Комиссию по ценным бумагам и биржам США (SEC) с просьбой отозвать спорное правило раскрытия информации о киберинцидентах.
Петиция, поданная 22 мая 2025 года, требует отмены пункта 1.05 в форме 8-K и соответствующего требования в форме 6-K для иностранных частных эмитентов, которые обязывают раскрывать существенные киберинциденты в течение четырех рабочих дней после определения их значимости, ссылаясь на серьезные опасения в области национальной безопасности, ущерба для инвесторов и сбоев в работе.
Группы утверждают, что эти требования оказались обременительными, сбивающими с толку и контрпродуктивными для обеспечения кибербезопасности и защиты инвесторов.
«Преждевременное раскрытие важных киберсобытий поставило под угрозу сдерживание инцидентов, помешало координации с правоохранительными органами и вызвало хаос на рынке и в судебной сфере», — говорится в петиции.
Американские банковские группы предупреждают SEC, что правило раскрытия информации о киберрисках помогает хакерам
Правило SEC о управлении рисками кибербезопасности, стратегии, управлении и раскрытии инцидентов, принятое в июле 2023 года, было направлено на повышение прозрачности и стандартизацию способов коммуникации публичных компаний с инвесторами о киберугрозах.
Однако критики считают, что происходит обратное. В петиции подчеркивается, что компании вынуждены сообщать об инцидентах даже когда они еще продолжаются, расследования не завершены, а системы не полностью восстановлены, что потенциально дает преимущество злоумышленникам.
Это правило вызвало значительную путаницу относительно того, как и когда компании должны раскрывать инциденты. Несмотря на попытки SEC разъяснить ситуацию с помощью интерпретаций по соблюдению и раскрытию, писем с комментариями и рекомендаций комиссаров, компании все еще испытывают трудности с определением, следует ли им отчитываться по пунктам 1.05 и 8.01.
По мнению торговых групп, эта неопределенность сделала правило неэффективным и юридически рискованным, подвергая компании судебным искам и ущербу репутации, при этом не создавая полезной для инвесторов информации.
Особенно группы предупредили, что группировки, занимающиеся программами-вымогателями, и другие киберпреступники начали использовать сроки раскрытия информации SEC как оружие, угрожая публичным раскрытием, чтобы вымогать у жертв.
«Требование раскрытия инцидентов было использовано преступниками, занимающимися программами-вымогателями, для достижения злонамеренных целей», — говорится в петиции, добавляя, что это может даже увеличить вероятность последующих атак, когда компании становятся известны как уязвимые.
Основная идея петиции — предупреждение, что правило раскрытия SEC подрывает федеральную стратегию кибербезопасности.
Группы также утверждают, что слишком раннее раскрытие деталей существенных киберинцидентов в публичное пространство может противоречить требованиям конфиденциальной отчетности, предусмотренным такими законами, как Закон о отчетности киберинцидентов для критической инфраструктуры (CIRCIA).
Существующие системы раскрытия информации лучше обслуживают инвесторов
Несмотря на намерение SEC повысить защиту инвесторов, петиция настаивает, что текущее правило раскрытия киберинцидентов не предоставляет рынку «полезной для принятия решений» информации.
Вместо этого оно рискует создавать вводящие в заблуждение истории на основе неполных фактов, при этом нанося ущерб учреждениям, которые оно стремится регулировать.
Банковские группы утверждают, что существующие обязательства по раскрытию информации, такие как пункт 105 Регламента S-K и уже существующая структура значимости, уже обязывают компании сообщать о значительных рисках, включая угрозы кибербезопасности, таким образом, чтобы сохранять интересы инвесторов без ущерба для национальной безопасности или устойчивости компаний.
Они утверждают, что инвесторы останутся защищенными и без пункта 1.05.
«Мы считаем, что они были бы лучше обслужены через существующую структуру раскрытия информации о значимой информации — которая может включать существенные киберинциденты — при этом лучше учитывая вышеуказанные проблемы», — заключается в письме.
SEC пока не ответила публично на петицию от 22 мая. По мере того как SEC обдумывает следующий шаг, его результат может изменить баланс между прозрачностью и устойчивостью кибербезопасности в работе американских компаний в условиях все более враждебной среды.
Новость Банковские группы США призывают SEC отменить Правило о раскрытии кибератак была опубликована на Cryptonews На Русском.
