SEC: Empresas públicas devem relatar ataques cibernéticos em até quatro dias
- A Comissão de Segurança e Câmbio dos EUA estabeleceu um prazo de quatro dias para empresas públicas divulgarem incidentes de cibersegurança considerados “materiais”.
- A divulgação pode ser adiada pelo procurador-geral dos EUA em casos que representem risco substancial à segurança nacional ou pública.
- A medida tem como objetivo fornecer informações mais consistentes e úteis aos investidores.
A notícia surge após a Microsoft ser criticada por especialistas em segurança por levar semanas para confirmar um ataque contra o Outlook e outros serviços online. “Realmente não temos como medir o impacto [do ataque] se a Microsoft não fornecer essas informações”, disse Jake Williams, pesquisador de segurança cibernética e ex-hacker da NSA, à AP em junho.
Enquanto as regras da GDPR são mais sobre proteger o público, a SEC parece estar mais focada nos investidores: “Atualmente, muitas empresas públicas fornecem divulgação de cibersegurança aos investidores”, disse o presidente da SEC, Gary Gensler, em comunicado. “Eu acho que empresas e investidores se beneficiariam se essa divulgação fosse feita de maneira mais consistente, comparável e útil para tomada de decisão”.
Empresas de tecnologia se opuseram às regras da SEC desde que foram anunciadas no ano passado, o que levou à inclusão de uma cláusula de adiamento, segundo a Bloomberg. Além disso, o Conselho de Indústria de Tecnologia da Informação argumentou que o prazo de quatro dias é muito curto, já que as empresas podem não ter informações suficientes sobre o incidente até então.
Todos os produtos recomendados pelo Engadget são selecionados pela nossa equipe editorial, independentemente da nossa empresa controladora. Alguns de nossas histórias incluem links afiliados. Se você comprar algo através de um desses links, podemos ganhar uma comissão de afiliado. Todos os preços estão corretos no momento da publicação.
#notícias # #segurança #cíbersegurança #ataquecibernético #SEC