Các nhóm ngân hàng lớn đang yêu cầu Ủy ban Chứng khoán và Giao dịch (SEC) hủy bỏ một quy tắc yêu cầu các công ty đại chúng phải báo cáo các sự cố an ninh mạng cho công chúng trong vòng bốn ngày.
Các nhóm vận động hành lang trong ngành ngân hàng và tài chính Hoa Kỳ đã kiến nghị SEC bãi bỏ các yêu cầu công khai sự cố an ninh mạng.
Năm nhóm ngân hàng Hoa Kỳ, dẫn đầu là Hiệp hội Ngân hàng Hoa Kỳ, đã yêu cầu cơ quan quản lý này loại bỏ quy tắc của mình trong một lá thư ngày 22 tháng 5, lập luận rằng việc tiết lộ các sự cố an ninh mạng “trực tiếp mâu thuẫn với các yêu cầu báo cáo bảo mật nhằm bảo vệ cơ sở hạ tầng quan trọng và cảnh báo các nạn nhân tiềm năng”.
Nhóm này, bao gồm cả Hiệp hội Công nghiệp Chứng khoán và Thị trường Tài chính, Viện Chính sách Ngân hàng, Hiệp hội các Ngân hàng Cộng đồng Độc lập và Viện Ngân hàng Quốc tế, tuyên bố rằng quy tắc này làm tổn hại đến các nỗ lực quản lý để tăng cường an ninh mạng quốc gia.
Quy tắc Quản lý Rủi ro An ninh Mạng của SEC, được công bố vào tháng 7 năm 2023, yêu cầu các công ty phải nhanh chóng tiết lộ các sự cố an ninh mạng như vi phạm dữ liệu hoặc hack. Tuy nhiên, các nhóm ngân hàng cho rằng quy tắc này có sai sót ngay từ đầu và đã chứng tỏ có vấn đề trong thực tế kể từ khi có hiệu lực.
Các tổ chức ngân hàng cho biết “cơ chế trì hoãn tiết lộ phức tạp và hẹp” can thiệp vào việc ứng phó sự cố và thực thi pháp luật, đồng thời tạo ra “sự nhầm lẫn trên thị trường” giữa việc tiết lộ bắt buộc và tự nguyện.
Việc công khai cũng đã bị “vũ khí hóa như một phương pháp tống tiền bởi tội phạm ransomware để thúc đẩy các mục tiêu độc hại” và việc tiết lộ sớm làm trầm trọng thêm các vấn đề về bảo hiểm và trách nhiệm pháp lý cho các công ty và “gây rủi ro làm lạnh các thông tin liên lạc nội bộ thẳng thắn và chia sẻ thông tin thường xuyên”, nhóm này tuyên bố.
Một số tuyên bố và lo ngại của các nhóm ngân hàng liên quan đến phán quyết. Nguồn: SIFMA
Các nhóm đặc biệt muốn “Mục 1.05” được hủy bỏ khỏi các quy tắc của SEC đối với báo cáo Mẫu 8-K và các yêu cầu báo cáo song song áp dụng cho Mẫu 6-K.
Mẫu 8-K được sử dụng để thông báo công khai cho các nhà đầu tư vào các công ty đại chúng Hoa Kỳ về các sự kiện được chỉ định, bao gồm các sự cố an ninh mạng, có thể quan trọng đối với các cổ đông hoặc SEC.
“Điều quan trọng là, nếu không có Mục 1.05, lợi ích của nhà đầu tư vẫn sẽ được bảo vệ và chúng tôi tin rằng họ sẽ được phục vụ tốt hơn thông qua khuôn khổ tiết lộ hiện có để báo cáo thông tin quan trọng, có thể bao gồm các sự cố an ninh mạng quan trọng”, các nhóm tuyên bố.
Yêu cầu này cũng ảnh hưởng đến các công ty tiền điện tử niêm yết công khai như Coinbase, công ty đã tiết lộ vào đầu tháng này rằng tin tặc đã hối lộ nhân viên hỗ trợ của mình để làm rò rỉ dữ liệu người dùng.
Nếu SEC hủy bỏ yêu cầu, nó có thể cho các công ty như Coinbase có thêm thời gian để tiết lộ các sự cố an ninh mạng cho công chúng.
