Банковский сектор США лоббирует отмену одного из последних правил Комиссии по ценным бумагам и биржам (SEC) по отчётности о киберинцидентах. В частности в группу оппонирующих входят Американская банковская ассоциация, Институт банковской политики, Ассоциация индустрии ценных бумаг и финансовых рынков, Независимые банкиры сообщества Америки и Институт международных банкиров.

Норма, принятая SEC в июле 2023 года, требует от публичных компаний раскрывать значимые ИБ-инциденты в течение четырёх рабочих дней с момента определения их статуса, масштаба, сроков, а также эффекта, оказанного на организацию. Кроме того, компании должны ежегодно отчитываться о своей стратегии управления ИБ-рисками и собственно методах управления.

В петиции, опубликованной 22 мая, банковские ассоциации утверждают, что правило создаёт нагрузку на их ресурсы, добавляет новые требования к и без того «сложному списку обязательств по раскрытию информации, которые должны соблюдать финансовые учреждения и другие компании сектора критической инфраструктуры» (в отчёте Министерства внутренней безопасности за 2023 год указано 45 подобных требований, администрируемых 22 федеральными ведомствами).

Коалиция сетует на возникающую необходимость преждевременно рассказывать о подробностях инцидента, «даже если он продолжался, расследование компании не было завершено, а последствия не были полностью устранены». Правило также критикуют за введение запутанных требований соответствия (compliance) как для финансовых учреждений, так и для их инвесторов.

Наконец, авторы заявили, что обсуждаемая норма создаёт дополнительный риск, поскольку некоторые хакерские группировки используют невыполненные требования SEC по раскрытию информации как инструмент давления на жертв в процессе вымогательства.

Усам Оздемиров