ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), halka açık şirketlerin siber güvenlik olaylarını dört gün içinde raporlamasını gerektiren yeni kurallar yayınladı.
Buna göre, ABD’de borsaya kayıtlı şirketler aralık 2023’ten itibaren, meydana gelen siber saldırılar hakkında “olayın niteliğini, kapsamını ve zamanlamasını, maddi etkisini veya makul ölçüde muhtemel maddi etkisini” açıklayan raporlama yapmak zorundalar.
Burada kaydedilen “Maddi etki” ne anlama geliyor derseniz? SEC’e göre, “bir şirketin itibarına, müşteri veya satıcı ilişkilerine veya rekabet gücüne zarar verme” ile dava veya düzenleyici eylem riskini içeriyor.
Ancak, bunun zor olduğu yani bir siber saldırıya uğrayan şirketin, ihlal edilmiş olabilecek verilerin türünü ve kapsamını belirlemesinin zaman alacağı eleştirileri yapılıyor. Yani, kuruluşların saldırı sonucunda hangi verilere erişildiğini veya erişilmediğini belirtmesi dört günden çok daha uzun sürecektir. Bu durumda, yanlış veya eksik bilgilerin yetkililerle ve etkilenenlerle, çalışanlar ve müşterilerle paylaşılma riski var.
Örneğin, bir veri ihlalinin gerçekte olduğundan çok daha kötü olduğunu kamuoyuna açıklayacak olan bir şirket, sonradan bu itibar kaybını da zor tamir edebilir.
Türkiye’deki kurallarda, Kişisel Veriler işleyen (çalışan, müşteri vs) şirketlerin siber saldırıya uğraması durumunda raporlama zorunluluğu var ve Kişisel Verileri Koruma Kurulu (KVKK) bunları sayfalarından duyuruyor (nedense hiç devlet kurumu duyurmuyor ama kişisel veriler ortalıkta). Buradaki olayda ise, borsanın halka açık şirketlere yatırım yapan kişileri koruduğu anlaşılıyor.
Kaynak : 