美国证券交易委员会(SEC)周三批准了一项新规定，要求上市公司在确认网络攻击对其财务产生“实质性”影响后的四天内公布网络攻击的细节，这标志着披露电脑漏洞的方式发生了重大变化。
SEC主席加里·金斯勒(Gary Gensler)表示：“无论是一家公司在火灾中失去了一家工厂，还是在一次网络安全事件中损失了数百万份文件，这对投资者来说都可能是重要的。”“目前，许多上市公司都向投资者提供网络安全信息披露。不过，我认为，如果披露信息的方式更加一致、更具可比性、更有决策价值，那么公司和投资者都会从中受益。”
为此，新的义务授权公司披露事件的性质、范围和时间，以及事件的影响。不过，如果确定披露此类细节“将对国家安全或公共安全构成重大风险”，则这一披露可能会再推迟60天。
它们还要求登记人每年描述用于评估、识别和管理来自网络安全威胁的重大风险的方法和战略，详细说明因这些事件而产生的物质影响或风险，并分享关于正在进行或已完成的补救工作的信息。

“这里的关键词是‘材料’，并能够确定这实际上意味着什么，”安全保安公司首席执行官Saket Modi告诉黑客新闻。“大多数组织不准备遵守证券交易委员会的准则，因为它们无法确定重要性，而重要性是股东保护的核心。他们缺乏从宏观和微观层面量化风险的系统。”
也就是说，这些规则并没有延伸到“关于注册人计划应对事件或其网络安全系统、相关网络和设备或潜在系统漏洞的具体的、技术性的信息，这些信息的详细程度会阻碍注册人对事件的响应或补救。”
该政策于2022年3月首次提出，旨在提高美国公司所面临的网络犯罪和民族国家行为者的威胁的透明度，缩小网络安全防御和披露实践的差距，并加强针对数据盗窃和入侵的系统。
据Kroll称，近几个月来，超过500家公司成为由一个名为Cl0p的勒索软件团伙策划的网络攻击狂欢的受害者，该团伙利用企业环境中广泛使用的软件中的关键缺陷推动网络攻击，威胁者利用新的泄露方法窃取数据。
Tenable首席执行官兼董事长Amit Yoran表示，关于网络风险管理和事件披露的新规则是“正确的”，他们是“朝着更大的透明度和问责制迈出的戏剧性的一步”。

约兰补充说：“当网络入侵带来现实后果和名誉损失时，投资者应该有权了解一个组织的网络风险管理活动。”
尽管如此，也有人担心，由于公司可能需要数周甚至几个月的时间，才能对违规行为进行全面调查，因此，相关的时间框架过于紧迫，可能导致披露的信息不准确。使问题进一步复杂化的是，过早的入侵通知可能会使其他攻击者倾向于一个易受攻击的目标，并加剧安全风险。
“美国证交会(SEC)要求机构在4天内报告网络攻击或事件的新规定似乎咄咄逼人，但与其他国家相比，其时间框架更为宽松，”KnowBe4的安全意识倡导者詹姆斯·麦奎根(James McQuiggan)表示。
“在欧盟、英国、加拿大、南非和澳大利亚，公司有72小时的时间报告一次网络事故。在中国和新加坡等其他国家，这是24小时。印度必须在6小时内报告这一漏洞。”
McQuiggan补充说：“无论哪种方式，组织都应该有可重复和有良好记录的事件反应计划，包括沟通计划、程序和要求，说明谁被带入事故的时间和时间。”