Các Nhóm Ngân Hàng Thúc Giục SEC Xem Lại Quy Định Tiết Lộ An Ninh Mạng

Các hiệp hội ngân hàng lớn tại Mỹ đang yêu cầu Ủy ban Chứng khoán và Giao dịch rút lại quy định bắt buộc các công ty công khai phải tiết lộ các sự cố an ninh mạng trong vòng bốn ngày làm việc.

Các nhóm vận động hành lang trong lĩnh vực ngân hàng và tài chính của Mỹ đã gửi yêu cầu chính thức đến Ủy ban Chứng khoán và Giao dịch (SEC) để bãi bỏ quy định về việc công khai tiết lộ các sự cố an ninh mạng.

Vào ngày 22 tháng 5, một liên minh gồm năm nhóm ngân hàng hàng đầu của Mỹ, do Hiệp hội Ngân hàng Mỹ dẫn đầu, đã gửi thư đến SEC. Họ lập luận rằng yêu cầu phải công khai các sự cố an ninh mạng trong vòng bốn ngày làm việc mâu thuẫn với các nghĩa vụ báo cáo bảo mật khác được thiết kế để bảo vệ cơ sở hạ tầng quan trọng và cảnh báo các nạn nhân tiềm năng.

Liên minh này bao gồm Hiệp hội Công nghiệp Chứng khoán và Thị trường Tài chính, Viện Chính sách Ngân hàng, Hiệp hội Ngân hàng Cộng đồng Độc lập của Mỹ và Viện Ngân hàng Quốc tế. Họ cho rằng quy định hiện tại làm suy yếu nỗ lực củng cố an ninh mạng quốc gia.

SEC đã giới thiệu Quy định Quản lý Rủi ro An ninh Mạng vào tháng 7 năm 2023, buộc các công ty phải báo cáo các sự cố như rò rỉ dữ liệu hoặc tấn công mạng một cách nhanh chóng. Tuy nhiên, các nhóm ngân hàng khẳng định rằng quy định này đã bị lỗi từ khi bắt đầu và đã gây ra vấn đề trong thực tế.

Các nhóm đã nhấn mạnh rằng cơ chế trì hoãn tiết lộ 'phức tạp và hẹp' của quy định này cản trở nỗ lực phản ứng với sự cố và thực thi pháp luật, dẫn đến 'sự nhầm lẫn thị trường' giữa những gì bắt buộc và những gì tự nguyện.

Họ cũng chỉ ra rằng việc tiết lộ công khai đã bị tội phạm ransomware lợi dụng như một phương pháp tống tiền để đạt được mục tiêu độc hại. Các tiết lộ sớm, họ tuyên bố, làm trầm trọng thêm các vấn đề bảo hiểm và trách nhiệm pháp lý cho các công ty, có thể làm giảm sự giao tiếp nội bộ mở và chia sẻ thông tin thường xuyên.

Các nhóm ngân hàng cụ thể yêu cầu hủy bỏ 'Mục 1.05' từ các quy định của SEC về báo cáo theo Mẫu 8-K và các yêu cầu tương tự cho Mẫu 6-K.

Mẫu 8-K được sử dụng để thông báo cho công chúng và nhà đầu tư về các sự kiện quan trọng tại các công ty công khai của Mỹ, bao gồm các sự cố an ninh mạng có thể ảnh hưởng đến cổ đông hoặc SEC.

Các nhóm lập luận rằng mà không có 'Mục 1.05', lợi ích của nhà đầu tư vẫn sẽ được bảo vệ, và một khung tiết lộ hiệu quả hơn cho việc báo cáo thông tin quan trọng, có thể bao gồm các sự cố an ninh mạng, sẽ phục vụ nhà đầu tư tốt hơn.

Đơn kiến nghị bao gồm các ví dụ thực tế về sự nhầm lẫn giữa các bên tham gia, các sự cố tấn công ransomware cụ thể và các xung đột quy định đã được ghi nhận.

Ảnh hưởng đến Các Công Ty Crypto Công Khai

Yêu cầu này cũng ảnh hưởng đến các công ty tiền điện tử giao dịch công khai như Coinbase. Trước đó trong tháng này, Coinbase đã tiết lộ rằng các hacker đã hối lộ nhân viên hỗ trợ của họ để rò rỉ dữ liệu người dùng, dẫn đến ít nhất bảy vụ kiện chống lại công ty.

Coinbase đã từ chối một yêu cầu chuộc tiền trị giá 20 triệu đô la sau một cuộc tấn công lừa đảo lớn, nơi nhân viên đã rò rỉ dữ liệu người dùng, có thể gây thiệt hại cho công ty lên đến 400 triệu đô la.

Nếu SEC quyết định hủy bỏ yêu cầu này, các công ty như Coinbase có thể có thêm thời gian để báo cáo các sự cố an ninh mạng cho công chúng.

Theo Cointelegraph

Tin khác