Internet-Sicherheit Vorfälle sind heutzutage ständig in den Nachrichten, aber Sie werden bald noch viel mehr davon hören. Das liegt daran, dass am Montag eine neue Regelung der Securities and Exchange Commission in Kraft getreten ist, die alle börsennotierten Unternehmen dazu verpflichtet, Datenschutzverletzungen innerhalb von nur vier Tagen zu melden.
Der neue SEC-Regel verlangt von öffentlichen Unternehmen, dass sie innerhalb von vier Werktagen nach Feststellung eines „wesentlichen“ Cybersicherheitsvorfalls einen Regierungsantrag einreichen. Bei der Datenpanne von 23andMe erfuhren Nutzer das im Dezember Die Biodaten von 6,9 Millionen Menschen wurden offengelegtobwohl der Hack in passiert ist früher Oktober. In diesem Fall ist unklar, wann 23andMe von der Schwere und der Tragweite des Hacks wusste, aber es ist möglich, dass die Benutzer viel früher hätten alarmiert werden können.
Aktuellen Untersuchungen von zufolge benötigen börsennotierte Unternehmen derzeit etwa 80 Tage, um Vorfälle an die SEC zu melden Gärtner. Diese Zahl ist in den letzten Jahren nur gestiegen, gegenüber 60 Tagen im Jahr 2020, da Unternehmen länger brauchen, um zu reagieren, während sie PR-Reaktionen auf massive Datenschutzverletzungen kuratieren. Einige dauern jedoch eher 100 Tage, da es nur sehr wenige Regeln für die Meldung von Datenhacks gibt.
Das Schlüsselwort in dieser Gesetzgebung ist „wesentlich“, weil es nicht eindeutig ist und schwer zu definieren ist, wann genau ein Cybersicherheitsvorfall als solcher gilt. Der Oberste Gerichtshof definiert materielle Beweise als eine erhebliche Wahrscheinlichkeit, dass ein vernünftiger Investor es für wichtig halten würde. Ein CEO könnte im Januar von einem Datenschutzverstoß erfahren, aber erst im Februar nach wochenlanger interner Überprüfung feststellen, dass es sich um einen schwerwiegenden Verstoß handelte.
Die im Juli verabschiedete, aber am 18. Dezember in Kraft getretene SEC-Regel verlangt von Unternehmen außerdem, mehr Details über Art, Umfang und Zeitpunkt eines Vorfalls anzugeben. Dies bedeutet, dass die Öffentlichkeit schneller als bisher mehr über Datenschutzverletzungen erfahren wird. Cybersicherheitsmaßnahmen werden seit langem von öffentlichen Unternehmen untergraben, die von Millionen von Benutzerdatenpunkten profitieren, aber über relativ schwache Sicherheitssysteme verfügen.
Erst in der letzten Woche haben wir erfahren, dass Comcast die Daten jedes einzelnen Xfinity-Kunden verloren hat; Die Insomniac Games von PlayStation wurden gehackt und 1,67 Terabyte Daten verloren, einschließlich der Pässe seiner Mitarbeiter und Details zu einem neuen Wolverine-Spiel; und ein riesiges Hypotheken- und Kreditunternehmen, Herr Cooper, hat die Daten verloren 14 Millionen Menschen. Das sind nur die Cybersicherheitsvorfälle, die diese Woche gemeldet wurden. Es kann jedoch sein, dass Sie bereits von einem anderen Unternehmen betroffen waren, das Ihre Daten verloren hat, und Sie wissen es einfach noch nicht. Die neue SEC-Regel soll das ändern.