| 27 июля 2023 г. — 7:17 PT
Было много случаев, когда американские компании месяцами скрывали серьезные утечки персональных данных – часто признавая их только тогда, когда о них узнавал внешний источник.
В Европе это невозможно, поскольку закон требует сообщать о несанкционированном доступе к персональным данным регуляторам в течение трех дней, а теперь США наконец-то вводят аналогичное требование – хотя и не в ваших интересах…
Американские компании часто скрывают утечки данных
Когда американские компании взламывают, и данные клиентов оказываются под угрозой, они часто не сообщают об этом клиентам месяцами.
Например, хакер получил доступ к номерам телефонов и адресам электронной почты 5,4 млн пользователей Twitter через уязвимость, о которой впервые сообщили в январе прошлого года. Точное время атаки неясно, но Twitter устранил уязвимость после сообщения, однако только в августе сообщил, что данные пользователей были получены хакером и выставлены на продажу.
Европейское законодательство о конфиденциальности требует, чтобы компании раскрывали утечки данных в течение трех дней с момента обнаружения.
В случае нарушения безопасности персональных данных, контролер без неоправданной задержки и, если это возможно, не позднее 72 часов после того, как ему стало известно о нем, должен уведомить компетентный надзорный орган в соответствии со статьей 55, если только нарушение безопасности персональных данных вряд ли приведет к риску для прав и свобод физических лиц. Если уведомление надзорному органу не будет сделано в течение 72 часов, оно должно сопровождаться обоснованием задержки.
Однако в США такого требования не было.
SEC теперь устанавливает 4-дневный срок для отчетности
Ситуация изменилась: Комиссия по ценным бумагам и биржам (SEC) теперь требует, чтобы компании раскрывали информацию об утечках данных в течение четырех дней.
Новые правила потребуют от регистрантов раскрывать в новом пункте 1.05 формы 8-K любую кибербезопасную инцидент, который они сочтут существенным, и описывать существенные аспекты характера, масштаба и времени инцидента, а также его существенное влияние или разумно вероятное существенное влияние на регистранта. Форма 8-K по пункту 1.05, как правило, должна быть представлена через четыре рабочих дня после того, как регистрант определит, что кибербезопасный инцидент является существенным.
Причина этого – обеспечить, чтобы затронутые лица были уведомлены –
Мы шутим, конечно: это сделано для защиты акционеров от риска их инвестиций, подвергающихся риску из-за нераскрытых финансовых обязательств.
«Потеряла ли компания завод в огне — или миллионы файлов в результате инцидента с кибербезопасностью — это может быть существенным для инвесторов», — сказал председатель SEC Гэри Генслер. «В настоящее время многие публичные компании предоставляют инвесторам информацию о кибербезопасности. Однако я думаю, что как компании, так и инвесторы выиграют, если это раскрытие будет сделано более последовательным, сопоставимым и полезным для принятия решений. Помогая обеспечить, чтобы компании раскрывали существенную информацию о кибербезопасности, сегодняшние правила принесут пользу инвесторам, компаниям и рынкам, которые их связывают».
Фото: Ахмед Зайан/Unsplash