Cyber-attacchi, le vittime devono parlare

La SEC distribuisce una nuova serie di regole comportamentali per le società quotate in Borsa e cadute vittima di attacchi. Spunta l'obbligo della divulgazione dettagliata anche per gli incidenti avvenuti in passato
La SEC distribuisce una nuova serie di regole comportamentali per le società quotate in Borsa e cadute vittima di attacchi. Spunta l'obbligo della divulgazione dettagliata anche per gli incidenti avvenuti in passato

I membri del Congresso statunitense avevano richiesto nuove regole per la trasparenza riguardo agli attacchi informatici subiti dalle aziende, e la Securities and Exchange Commission (SEC) ha finalmente risposto con la pubblicazione di linee guida e obblighi specifici da adottare in caso di “rischi alla cyber-sicurezza e cyber-incidenti”.

Le linee guida pongono una serie di condizioni per la pubblicazione di dettagli su eventuali incidenti informatici, condizioni vincolanti per le aziende private quotate in Borsa e che saranno utili a valutarne l’affidabilità e le pratiche di sicurezza.

In particolare la SEC prevede ora che una azienda comunichi i rischi di un possibile attacco “se questi problemi sono compresi tra i fattori più significativi che rendono un investimento nell’azienda speculativo o rischioso”. Spetterà alle aziende valutare con attenzione l’importanza di questi fattori, e quindi la eventuale necessità di informare il pubblico sulla questione.

La trasparenza sui cyber-attacchi e i rischi di cyber-attacchi non sarà a ogni modo obbligatoria in tutti i casi, e le nuove regole della SEC dovrebbero appunto servire a stabilire quando l’obbligo sussiste e quando invece la vittima potrà non informare il pubblico.

Una delle regole che più fa discutere è certamente la possibilità per le aziende di vedersi costrette a fornire rapporti dettagliati in merito a incidenti già avvenuti in passato: se una società è già stata colpita da un malware che ha rubato dati sensibili degli utenti, suggerisce la SEC, comunicare che “esiste un rischio” di cyber-attacco non basterà, ma occorrerà fornire tutti i particolari dell’incidente subito.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

18 10 2011
Link copiato negli appunti