資安事件後4天內須提報告　美證交會頒布法規惹議

編譯／陳佩君

美國證券交易委員會（Securities and Exchange Commission，SEC）提出了一項有爭議的法規，要求上市公司在網路安全事件發生後4天內必須進行報告，這項法規的目的是保護投資者和整個網路安全生態系統。然而，一些人擔心這可能對國家安全造成負面影響，並且認為這與即將實施的2022年關鍵基礎設施網路事件報告法（Cyber Incident Reporting for Critical Infrastructure Act, CIRCIA）中的新報告要求重疊。由於對這項提案存在爭議，SEC將最終事件報告法案的截止日從預計4月完成推遲到10月，這樣做是為了更多考慮多方的意見和關注。

這法規支持者認為，及時的報告能夠幫助投資者做出明智的決策，建立公開與網路安全事件相關的標準化數據，同時提供更多關於網路安全事件的資訊，從而改善整個網路安全環境，而反對者擔心這可能導致資料洩漏給駭客帶來更多機會，造成更多網路安全事件。

報告認為，SEC要求廣泛適用標準化報告和更高透明度，可以改善網路安全環境上的資訊不對稱情況，從而促進整個網路安全生態系統的健康發展。透過這些規定，監管機構可以更有效地運用現有的政策工具，提高對網路安全的監管和防範能力，將有助於網路安全的整體發展，確保環境中的各方都能夠獲得更公平和準確的資訊，並更好地應對網路安全挑戰。

近30個行業協會包括美國商會、消費技術協會和證券協會向SEC提交的一封信中批評這提案，他們表示，這提案會讓行業對於如何報告網路安全事件和風險感到困惑，並給駭客提供詳細的數據資料，從而進一步危害公司、損害執法機構的調查，並干擾公私對抗網路攻擊的反應。並指出，投資者將因此提案權益受損。

網路安全公司Rapid7向SEC表示，未受控制或防止網路事件的公開揭露可能會引起更多駭客攻擊行動，進一步損害投資者。然而，大西洋理事會的報告認為，如果SEC允許公司在不受控制的網路事件中延遲報告，只要對這種情況下的報告事件設定30天的最後期限，這些擔憂是可以輕鬆解決。該報告中建議，企業允許延遲報告可能對國家安全造成負面影響，並建議檢察長或CISA能夠確認這種情況下更快速的反應時間的風險。儘管該法規存在較高爭議，但其有助於提升整體網路安全生態系統的健康狀態，並改善資訊不對稱問題。

資料來源：The Record

瀏覽 580 次