最后更新于2022年9月13日星期二20:25:19 GMT
The SEC 最近提议 一项规定,要求所有上市公司在确定事件严重后四天内报告网络安全事件. 虽然Rapid7通常支持拟议的规则, 我们担心该规则要求公司公开披露网络事件 在事件得到控制或缓解之前. 这篇文章解释了为什么这是一个问题,并提出了一个解决方案,使美国证券交易委员会能够推动公司披露信息. Rapid7也提交了 向证券交易委员会提出的意见 在这个问题上.
(术语说明:“上市公司”是指股票在美国公开交易所交易的公司, and “material指的是“一个理性的股东极有可能认为该信息重要”的信息.” “Containment旨在防止网络事件蔓延. 遏制是“mitigation,,其中包括降低事件严重性或漏洞被利用可能性的行动, 虽然可能无法完全补救.)
In sum在遏制或缓解重大网络安全事件之前公开披露可能比延迟公开披露对投资者造成更大的伤害. 我们建议美国证券交易委员会对拟议的报告要求提供豁免, 使公司能够在满足某些条件的情况下推迟公开披露未控制或未缓解的事件. Additionally, 我们解释了为什么我们认为其他拟议的解决方案可能不符合SEC透明度和避免损害投资者的目标.
[查看我们的事故报告规则摘要和图表 here.]
通过默认的公开披露来区分
美国证券交易委员会拟议规则的目的是帮助投资者做出明智的投资决策. 这反映了网络安全对公司治理的重要性日益增强, 风险评估, 以及股东在投资时权衡的其他关键因素. 除了报告未减轻的事件外,Rapid7在很大程度上支持这种观点.
美国证券交易委员会提议的规则(除其他事项外)将要求公司披露在互联网上发生的重大网络事件 Form 8-K,公众可通过 EDGAR system. 至关重要的是,美国证交会拟议的规则没有对公开披露事件进行区分 是被遏制还是被缓解 还有一些事件 尚未得到控制或缓解. 然而,信息披露的默认公开性质带来了新的问题, 这也符合证交会提出该规定的目的.
与美国证券交易委员会提出的规则相反 大多数其他事件报告规定 加强网络安全是全球政策的重中之重吗. 因此,大多数其他网络事件报告监管机构(如CISA, NERC, FDIC, Fed. 储备,OCC, NYDFS等.)通常不以确定受影响组织的方式公开事件报告. 事实上,一些规定(如 CIRCIA and the 2021年TSA管道安全指令)将公司事件报告归类为不受《pg电子》约束的敏感信息.
超出了规定, 既定的网络事件响应协议是为了避免向攻击者告密,直到事件得到控制,进一步损害的风险已经减轻. 比如, 中钢协事件应变手册 (特别是关于opsec的部分)和 NIST的计算机安全事件处理指南 (特别是第2节).3.4). 出于类似的原因, 这通常是协调漏洞披露实践要避免的目标, 在可能的情况下, 在漏洞得到缓解之前公开披露漏洞. 看,例如, 协调披露CERT指南.
虽然要求披露 控制或减轻 在确定事件重要性后的四天内, 对公开披露的严格要求 unmitigated 或持续的事件可能会使公司和投资者面临额外的危险. 投资者并不是唯一可能根据网络事件报告采取行动的群体, 这些信息可能会被滥用.
砸抢损害了投资者的利益,并对证券进行了错误定价
网络罪犯的目标往往是在公司不知情的情况下潜入企业网络. 保持低调会让攻击者随着时间的推移窃取数据, 悄悄地在网络上横向移动, 稳步获得更大的访问权限-有时需要数年时间. 但当掩护被揭穿,公司知道了攻击者? 忘记保密, 这是粉碎和抢夺的时间.
公开披露未缓解或未控制的网络事件可能会导致攻击者行为,对投资者造成额外伤害. 请注意,这种行为将是对公开披露未减轻事件的反应, 而且不是原始攻击的自然结果. For example:
- 粉碎和抢夺: 被发现的攻击者可能会放弃隐身并加速数据盗窃或勒索活动, 对公司(以及其投资者)造成更大伤害. 考虑一下MS-ISAC的这段话 2020勒索软件指南:“一定要避免向行为者透露他们已经被发现,并且正在采取缓解行动. 如果不这样做,可能会导致攻击者横向移动,以保留他们的访问权限,或者在网络离线之前广泛部署勒索软件.”
- 焦土: 被发现的攻击者可能会进行反取证活动(例如删除日志)。, 阻碍了事后调查和情报共享,本可以防止未来伤害投资者的攻击. From 中钢协的剧本"一些对手可能会积极监测防御反应措施,并改变其方法以逃避检测和遏制.”
- Pile-on: 宣布公司有事件可能会导致其他攻击者探测公司并从原始事件中发现漏洞或攻击向量. 如果事件还没有缓解, 模仿攻击者会对公司(以及其投资者)造成进一步的伤害。. From the CERT CVD指南“仅仅知道某些产品特性中存在的漏洞,就足以让熟练的人自己发现它。. 关于漏洞的谣言吸引了具有漏洞发现技能的知识渊博的人的注意-并且不能保证所有这些人都会考虑用户的最佳利益.”
- 供应链: 公开披露未缓解的网络安全事件可能会提醒攻击者注意其他公司存在的漏洞, 对其加以利用可能会损害其他公司的投资者. 在四个工作日内公开披露重大事件的“性质和范围”,可能会暴露出足够多的零日漏洞细节,否则就会受到鼓励 重新发现和重新实现 通过其他犯罪和间谍组织来对付其他组织. 例如,实际上只有不到100个组织被利用 太阳风供应链攻击,但有多达1.8万个组织面临风险.
In addition, 要求公开披露未得到控制或未得到缓解的网络事件,可能会导致受影响公司的股票定价错误. 通过违背网络事件响应的最佳实践并引发新的攻击, 过早地向公众披露未得到控制或未得到缓解的事件,可能会使投资者对公司应对网络安全事件的真实能力产生不准确的衡量. Moreover, 在事件响应过程中过早披露可能会导致投资者收到有关事件范围或影响的不准确信息.
Rapid7不反对在任何情况下公开披露未缓解的漏洞或事件, 我们的安全研究人员在必要时公开披露漏洞. However, 未缓解漏洞的公开披露通常发生在缓解失败之后(例如由于无法与受影响的组织接触)。, 或者用户应该在缓解之前采取防御措施,因为“在野外”对漏洞的持续利用正在积极地伤害用户. By contrast, SEC提议的规则将依赖于一项公开披露要求,在几乎所有情况下都有严格的时间表, 对投资者造成额外伤害的风险可能超过公开披露的好处.
建议的解决方案
Below, 我们提出了一个解决方案,我们认为该解决方案通过要求及时披露网络事件,同时避免可能因过早公开披露而对投资者造成不必要的额外伤害,从而实现了SEC保护投资者的最终目标.
具体来说,我们建议拟议的规则基本保持不变.e., 美国证券交易委员会继续要求公司在发现网络事件后尽快确定事件是否严重, 并在正常情况下,在重要性确定后4天提交8-K表格报告. However, 我们建议修订该规则,使公司在符合下列各项条件的情况下,可以暂时豁免公开披露:
- 事件尚未得到控制或以其他方式减轻,以防止对公司及其投资者造成进一步损害;
- 公司有理由相信,公开披露未得到控制或未得到缓解的事件可能会对公司造成实质性的额外损害, its investors, 其他公众公司或其投资者;
- 公司有理由相信该事件可以及时得到控制或缓解; and
- 公司正积极参与及时控制或减轻事件.
确定上述例外的适用性,可以与确定重要性同时进行. 如果例外适用, 公司可以推迟公开披露,直到任何情况不再发生, 在这一点上, 他们必须通过8-K表格公开披露网络事件, 不迟于豁免不再适用之日后的四天. 8-K披露可以说明这一点, 在提交8-K之前, 该公司依靠的是免于披露的条款. 现有的内幕交易限制会, of course, 在公开披露延迟期间继续申请.
如果美国证券交易委员会不能接受为遏制或缓解而无限期推迟公开披露, 那么我们建议在确定重要性后的30天内豁免. 根据我们的经验, 在这段时间内,绝大多数事件都可以得到控制和缓解. However, 网络安全事件可能差别很大, 尽管如此,缓解过程超过30天的情况可能非常罕见.
其他解决方案的缺点
Rapid7意识到其他解决方案正在浮出水面,以解决公开披露未缓解的网络事件的问题. However, 这些缺点与美国证券交易委员会规则的目的不一致,或者可能对网络安全没有意义. For example:
- AG delay: 美国证券交易委员会的拟议规则考虑,当司法部长(AG)确定延迟报告事件符合国家安全利益时,允许延迟报告事件. 这是一个适当的延迟,但本身是不够的. 这一延迟将适用于极少数重大网络事件,并不能在绝大多数情况下防止上述潜在危害.
- 执法延误: SEC的拟议规则考虑到, 然后拒绝, 事件报告的延迟会阻碍执法部门的调查. 我们认为这也是适当的延迟, 确保执法部门能够帮助防止未来可能伤害投资者的网络事件. 然而,目前尚不清楚在许多情况下是否会引发这种延迟. First, SEC提出的时间框架(在认定事件严重后的四天内)为执法部门启动新的调查或增加现有调查提供了一个紧迫的转机, 确定信息披露可能如何影响调查, 然后向证券交易委员会申请延期. Second, 执法机构已经对许多网络犯罪集团展开了调查, 因此,公开披露另一起事件可能不会对调查产生重大影响, 即使公开披露事件会造成伤害. 尽管执法部门的延迟会比司法部门的延迟使用得更多, 我们仍然预计它只适用于一小部分事件.
- 模糊的披露: 另一个可能的解决方案是继续要求上市公司在拟议的时间表上披露未缓解的网络事件, 但允许披露如此模糊,以至于不清楚事件是否得到了缓解. 然而,嵌入公司网络的攻击者不太可能被来自同一家公司的模糊事件报告所愚弄, 即使是一份含糊不清的报告也可能鼓励新的攻击者试图在其中站稳脚跟. 此外,非常模糊的披露不太可能对投资者的决策有用.
- 缓解后的重要性: 另一个可能的解决方案是,只有在事件得到缓解后才要求确定重要性. However, 这可能会导致缓解工作出现不必要的延误,以避免触发披露截止日期, 即使是在美国证券交易委员会提出的时间表内可以减轻的事件. 尽管在公开披露事件之前,遏制或缓解事件是很重要的, 完成缓解并不一定是确定严重性的先决条件.e.事件的重要性.
平衡透明度的风险和收益
美国证券交易委员会 广泛的列表 它要求公司在8- k表格上公开披露的重大信息——从破产到矿山安全. However, 公开披露任何其他事项都不太可能引发新的刑事诉讼,给投资者带来额外的伤害. 与其他披露相比,公开披露未缓解的网络事件带来了独特的风险,应就此加以考虑.
The SEC has long been 在网络安全问题上最具前瞻性的监管机构之一. 我们感谢他们承认网络安全对企业管理的重要性, 也感谢你花时间听取社区的反馈. Rapid7的反馈是,我们同意披露重大网络安全事件的有用性, 但我们鼓励SEC确保其公开报告要求避免破坏自己的目标,并为攻击者提供更多机会.
更多阅读:
