Больше месяца на раскрытие взлома

print
Печать

Источник: GAAP.RU

Дата публикации: 14 апреля 2021 г.


По сообщению Audit Analytics, в США половине публичных компаний требуется 37 дней на то, чтобы раскрыть информацию об имевшей место компрометации данных, что является рекордно долгим периодом с 2016 года.

Американское законодательство требует последовательных и скорых раскрытий по факту обнаружения следов успешно или не очень успешно проведенной хакерской атаки, но это - как выяснили в Audit Analytics по итогам исследования - случается не всегда. Так, средний срок информирования ответственных органов об инциденте составляет 53 дня с момента обнаружения (упомянутые выше 37 - медианное значение). Это все же меньше, чем среднее за последние десять лет (67 дней), но несильно, и это третье по величине среднее значение за последнюю пятилетку. А медиана так вообще побила рекорд 2016 года.

В чем может быть дело? “Аудиторские аналитики” связывают это с тем, что вместо простого “быстрого” информирования по факту атаки компании сегодня более приоритетными для себя считают “полные” раскрытия, косвенным подтверждением чего является резкое увеличение доли компаний, раскрывающих типы кибератак, которым они подверглись: 90% в 2020 году по сравнению с 60% в среднем на протяжении 2011-2019 гг.

В США требования к раскрытию информации о кибератаках варьируются от одного штата к другому, и в большинстве, так или иначе, предписано раскрывать все безо всяких задержек (разве что для них имеется уважительная причина). При этом не существует общепринятого стандарта в отношении того, как именно раскрывать информацию, так что стремление пострадавших организаций рассказать об инцидентах как можно больше может ими восприниматься в качестве “уважительной причины” для задержки - допускают в Audit Analytics.

Любопытно, что у главного финансового регулятора США - Комиссии по ценным бумагам и биржам (SEC) – тоже нет специальные требований для раскрытия информации по кибер-инцидентам, которые в этом случае имели бы федеральную силу (правда, есть общее требование раскрывать риски и события, способные оказать на организации существенное влияние). Поэтому в США компании до сих пор ориентируются на местное законодательство, традиции отрасли и собственное профессиональное суждение.

По материалам: CFO

Теги: Audit Analytics SEC кибер-инциденты кибератака Комиссия по ценным бумагам и биржам компрометация данных профессиональное суждение хакерская атака

Комментарии

Книги на GAAPshop.ru