Компании должны раскрывать потери от несанкционированного доступа к их данным
Американские сенаторы добиваются, чтобы корпорации раскрывали вероятные и фактические потери от несанкционированного доступа к их информацииКомиссия по ценным бумагам и биржам США (SEC) должна ввести правила, требующие от компаний, ставших жертвами крупных кибератак, сообщать об этом и раскрывать подробную информацию об интеллектуальной собственности и засекреченных технологиях, которые могли быть украдены хакерами. Этого требуют пять сенаторов-демократов во главе с председателем комитета сената по торговле Джеем Рокфеллером. Соответствующее письмо они направили в SEC. По их мнению, комиссия также должна требовать от компаний раскрывать информацию, если они уязвимы для кибератак.
«В свете растущей угрозы, а также последствий для национальной безопасности и экономики от успешных атак против американских бизнесов важно, чтобы руководители компаний знали об ответственности за управление рисками информационной безопасности и их раскрытии», – говорится в письме законодателей председателю SEC Мери Шапиро.
SEC не комментирует запрос, пока не подготовлен официальный ответ.
Компании, сообщающие о риске информационной безопасности, делают это с разной степенью подробностей, показала недавняя проверка комитета по торговле. Ни одна из компаний не раскрывала информацию о предринятых мерах, которые должны закрыть возможные лазейки в системах безопасности.
38% компаний из списка Fortune-500 допускали «значительную ошибку», не сообщая в публичных документах о риске взлома баз данных, отмечено в исследовании страхового андеррайтера Hiscox в 2009 г.
Законодатели хотят, чтобы компании сообщали о «существенном взломе сети» в результате кибератаки или кражи данных, который может повлиять на решение среднего инвестора о покупке или продаже акций. Правила SEC должны содержать четкое определение, когда масштаб атаки или кражи достигает значительного уровня и информация о них должна раскрываться.
Три недели назад из-за хакерской атаки Sony была вынуждена закрыть сеть PlayStation Network, после того как в апреле хакеры похитили личные данные и номера кредитных карт 77 млн ее пользователей. В мае 2 мая калифорнийское подразделение Sony Online Entertainment закрыло сайт из-за того, что хакеры получили доступ к персональным данным почти 25 млн пользователей.
В 2010 г. Google сообщила, что она и еще как минимум 20 компаний стали жертвами атаки китайских хакеров. Тогда у законодателей и специалистов появилась надежда, что и у других пострадавших компаний появится стимул раскрывать такую информацию. Но пока это делают очень немногие. В феврале Intel сообщила SEC, что месяцем ранее подверглась «изощренной» кибератаке.