資安事件後4天內須提報告 美證交會頒布法規惹議

編譯/陳佩君

這項法規的目的是保護投資者和整個網路安全生態系統。(示意圖/123RF)

美國證券交易委員會(Securities and Exchange Commission,SEC)提出了一項有爭議的法規,要求上市公司在網路安全事件發生後4天內必須進行報告,這項法規的目的是保護投資者和整個網路安全生態系統。然而,一些人擔心這可能對國家安全造成負面影響,並且認為這與即將實施的2022年關鍵基礎設施網路事件報告法(Cyber Incident Reporting for Critical Infrastructure Act, CIRCIA)中的新報告要求重疊。由於對這項提案存在爭議,SEC將最終事件報告法案的截止日從預計4月完成推遲到10月,這樣做是為了更多考慮多方的意見和關注。

這法規支持者認為,及時的報告能夠幫助投資者做出明智的決策,建立公開與網路安全事件相關的標準化數據,同時提供更多關於網路安全事件的資訊,從而改善整個網路安全環境,而反對者擔心這可能導致資料洩漏給駭客帶來更多機會,造成更多網路安全事件。

報告認為,SEC要求廣泛適用標準化報告和更高透明度,可以改善網路安全環境上的資訊不對稱情況,從而促進整個網路安全生態系統的健康發展。透過這些規定,監管機構可以更有效地運用現有的政策工具,提高對網路安全的監管和防範能力,將有助於網路安全的整體發展,確保環境中的各方都能夠獲得更公平和準確的資訊,並更好地應對網路安全挑戰。

近30個行業協會包括美國商會、消費技術協會和證券協會向SEC提交的一封信中批評這提案,他們表示,這提案會讓行業對於如何報告網路安全事件和風險感到困惑,並給駭客提供詳細的數據資料,從而進一步危害公司、損害執法機構的調查,並干擾公私對抗網路攻擊的反應。並指出,投資者將因此提案權益受損。

網路安全公司Rapid7向SEC表示,未受控制或防止網路事件的公開揭露可能會引起更多駭客攻擊行動,進一步損害投資者。然而,大西洋理事會的報告認為,如果SEC允許公司在不受控制的網路事件中延遲報告,只要對這種情況下的報告事件設定30天的最後期限,這些擔憂是可以輕鬆解決。該報告中建議,企業允許延遲報告可能對國家安全造成負面影響,並建議檢察長或CISA能夠確認這種情況下更快速的反應時間的風險。儘管該法規存在較高爭議,但其有助於提升整體網路安全生態系統的健康狀態,並改善資訊不對稱問題。

資料來源:The Record

瀏覽 651 次

覺得不錯的話就分享出去吧!

發佈留言

Back to top button