美國銀行和金融行業行業協會已正式向證券交易委員會提交申請,要求廢除其網路安全事件公開揭露要求。
在5月22日的一封聯名信中,由美國銀行家協會領導的五大銀行團體敦促監管機構撤銷該規定,他們認為揭露網路安全事件「直接違背了旨在保護關鍵基礎設施和預警潛在受害者的保密報告機制」。
這一聯合陣營包括證券業和金融市場協會、銀行政策研究所、美國獨立社區銀行家協會以及國際銀行家協會,他們共同指出該規則實際上損害了監管部門加強國家網路安全的整體努力。
美國證券交易委員會於2023年7月頒布的《網路安全風險管理規則》要求企業迅速公開揭露資料外洩或駭客入侵等網路安全事件。然而,這些銀行團體主張該規則在設計上存在根本缺陷,並在實施過程中顯露出諸多問題。
銀行機構強調,「複雜且限制嚴格的揭露延遲機制」不僅干擾了事件應對和執法工作,還在強制性與自願性揭露之間造成了「市場混淆」。
這些團體進一步指出,公開揭露已被「勒索軟體犯罪分子作為敲詐工具,進一步實現其惡意目的」,而過早揭露則加劇了企業面臨的保險和法律責任問題,同時「可能抑制組織內部的坦誠溝通和日常資訊共享」。
銀行團體關於該規定的一些聲明和擔憂。來源: SIFMA
這些團體特別要求從SEC的表格8-K報告規則和適用於表格6-K的平行報告要求中刪除「Item 1.05」條款。
表格8-K是美國上市公司用來向投資者公開通報特定事件的文件,包括可能對股東或SEC具有重要意義的網路安全事件。
「至關重要的是,即使沒有Item 1.05,投資者利益仍將得到保障,我們相信通過現有的重大資訊揭露框架(可能包括重大網路安全事件)能更好地服務投資者利益,」這些團體在聲明中說道。
完整的申請包含了參與機構遇到的混亂案例、特定勒索軟體攻擊事件以及已記錄的監管衝突實例。
上市加密貨幣公司受到影響
該要求同樣影響到公開上市的加密貨幣企業,如Coinbase,該公司本月早些時候揭露駭客曾賄賂其客服人員洩漏用戶資料。
這一揭露導致該公司遭遇至少七起訴訟。
Coinbase表示,在員工洩漏用戶資料的一次重大釣魚攻擊後,該交易所拒絕了2000萬美元的贖金要求,並稱這可能使其損失高達4億美元。
如果SEC撤銷該要求,可能會給Coinbase等企業提供更多時間向公眾揭露網路安全事件。