A confusão sobre quando e como denunciar violações de segurança cibernética continua a atormentar as empresas um ano após a entrada em vigor das regras revistas da Comissão de Valores Mobiliários dos EUA (SEC), dizem os especialistas.
À medida que a agência que regula e aplica as leis de segurança federais dos EUA continua a flexibilizar os seus músculos de aplicação contra organizações que violam regras rigorosas, impondo prazos de comunicação mais rigorosos para a divulgação de incidentes de segurança cibernética, os CISOs e outros executivos seniores estão sob pressão crescente para investigarem rapidamente. e reportar violações consideradas significativas – uma determinação desafiadora dada a sua complexidade.
As empresas enfrentam problemas com a SEC se as divulgações não forem divulgadas ou oportunas o suficiente, de acordo com Joe Shusko, sócio da prática de segurança cibernética da firma atuária global Baker Tilly. Por isso, consideram necessário desenvolver novas estratégias para manter a conformidade, cuja definição e aplicação nem sempre são claras e variam dependendo das circunstâncias específicas.
“A determinação do material não é simples e não deve ser feita isoladamente – o pessoal sênior de segurança deve trabalhar com colegas de negócios, consultores jurídicos e inteligência estrangeira como parte de um comitê de divulgação”, disse Shusko ao CSO.
O uso da SEC não diminui
A SEC tomou mais de 200 ações de fiscalização desde que obteve autoridade para fazê-lo em 2015, sendo que um quarto delas envolveu incidentes de segurança cibernética. Uma lista crescente de ações judiciais tem sido movida contra empresas que se considera terem enganado investidores sobre eventos que consideram importantes para as partes interessadas.
Em dezembro de 2024, eles apresentaram acusações de “fazer declarações enganosas sobre um ataque de segurança cibernética à rede Flagstar no final de 2021”, também conhecido como Citrix Bleed, por US$ 3,55 milhões. A SEC descobriu que, embora a empresa tenha relatado a violação, ela não divulgou que dados confidenciais de clientes de aproximadamente 1,5 milhão de pessoas foram expostos.
Alguns meses antes, a SEC multou quatro empresas em US$ 7 milhões por “divulgações cibernéticas enganosas” relacionadas ao hack da SolarWinds. O quarteto – Avaya, Check Point, Mimecast e Unisys – foi culpado de divulgações enganosas sobre o impacto das violações de software de 2020 nos seus negócios individuais, o que deixou os investidores e outras partes interessadas no escuro.
Cada uma das quatro empresas de tecnologia concordou em resolver a disputa sobre suas divulgações pagando multas, mas sem admitir irregularidades. A Unisys, que também foi acusada de violações de segurança, concordou em pagar uma multa de US$ 4 milhões, enquanto outros fornecedores receberam cerca de US$ 1 milhão.
CISOs ainda enfrentam o medo da incerteza
O ex-CSO da Uber, Joe Sullivan, especialista em segurança condenado por obstruir a denúncia da violação de privacidade da Uber em 2016, argumenta que, apesar do número crescente de exemplos de aplicação, ainda há muita incerteza sobre como as empresas podem alcançar a conformidade.
“Há muito medo agora porque não há clareza”, disse Sullivan ao CSO. “O governo controla através de medidas coercivas e obtemos informações incompletas sobre cada caso, o que leva a muita especulação”.
Com base em seu histórico, a SEC poderá emitir orientações mais claras e detalhadas sobre as regras de divulgação no futuro, disse Shusko. No entanto, é improvável que permita organizações que violem as regras ou que aguardem esclarecimentos futuros.
A SEC não respondeu imediatamente às perguntas do CSO sobre se orientações adicionais relativas às suas regras de relatórios revisadas estavam a caminho. Embora a próxima administração Trump tenha prometido flexibilizar as regulamentações comerciais em geral, ainda não está claro se as regras de divulgação de incidentes cibernéticos poderão ser alteradas – muito pouco se.
As empresas devem errar pelo lado da transparência
Do jeito que as coisas estão, os CISOs e seus colegas devem planejar um curso de ação infalível para atender aos requisitos de relatórios no caso de um incidente ou violação de segurança cibernética, disse Shusko. Isso significa antecipar a necessidade de atender aos requisitos de relatórios, tornando os acordos de conformidade parte de qualquer plano de resposta a incidentes, disse Shusko.
Se tiverem de divulgar um incidente cibernético, as empresas devem tentar ser oportunas, a fim de evitar a divulgação de informações que possam apontar para falhas de segurança não resolvidas que futuros atacantes possam explorar.
“As organizações deveriam optar pela transparência”, disse Shusko.
Edwards continuou: “Coloque os processos em prática, incluindo saber onde obter o formulário para enviar à SEC e talvez preenchê-lo previamente com o máximo de informações possível. Então, quando o impensável acontecer, haverá menos chance de entrar em pânico e cometer erros.”
Multas recentes também criaram a base para a SEC tomar medidas coercivas contra outras entidades não conformes – embora as regras de divulgação da SEC se destinem principalmente a empresas negociadas publicamente, uma gama muito maior de entidades poderá sentir os seus efeitos.
Considerando que as especificações de divulgação nem sempre são simples, não há substituto para a preparação real, e isso torna importante praticar situações que possam exigir divulgação com tablets e outros testes, de acordo com Simon Edwards, gerente sênior da empresa de testes de segurança SE Labs. . “Falando como alguém que investiu muito na segurança da minha empresa, posso dizer que a coisa mais óbvia e importante que um CISO pode fazer é desempenhar um papel num incidente”.
As cadeias de fornecimento da empresa também podem ser afetadas pela denúncia de violações
“As regras de divulgação são dirigidas a entidades negociadas publicamente, mas isso não significa que as entidades não negociadas publicamente sejam excluídas”, disse Shusko. “As empresas do setor público provavelmente esperarão que os seus parceiros de negócios divulguem e comuniquem quaisquer ataques cibernéticos que possam afetar as suas organizações e, portanto, os seus clientes. As organizações precisam entender suas cadeias de suprimentos.”
Os conselhos de Baker Tilly sobre como as empresas podem reduzir seus riscos críticos de conformidade de TI e cumprir as regras de divulgação cibernética da SEC podem ser encontrados aqui.
Leis de divulgação aberta significam que algumas empresas se sentirão obrigadas a divulgar incidentes de segurança menos importantes. Por exemplo, diz Shusko, embora o recente ataque cibernético contra a American Water não tenha tido um impacto perceptível na organização, ela ainda divulga o ataque para manter as partes interessadas informadas.
“Há uma falta de clareza sobre onde as ações de fiscalização podem começar”, disse Sullivan.
Os profissionais seniores de segurança e os seus colegas enfrentam um desafio particular ao determinar se um incidente de segurança é grave e, portanto, algo que são forçados a divulgar, ou algo mais sério que pode ser tratado internamente.
“[There’s] confusão sobre o que atende ao limite ‘material’ – as empresas estão em todos os lugares em suas divulgações e a orientação da SEC foi muito confusa”, disse Sullivan.
