SEC ostrzega, że ​​słabość sieci korporacyjnej może naruszać prawo federalne

WASHINGTON (Reuters) – Firmy publiczne, które nie zacieśnią kontroli w zakresie cyberbezpieczeństwa, mogą naruszać prawo federalne – poinformowała we wtorek amerykańska Komisja Papierów Wartościowych i Giełd (SEC).

Ostrzegawczy organ nadzoru przyszedł w formie raportu z dochodzenia, aby ocenić, czy dziewięć przedsiębiorstw, które padły ofiarą oszustw związanych z cyberprzestępstwem, miało wystarczające wewnętrzne mechanizmy kontroli rachunkowości wymagane przez prawo.

Skoncentrowano się na tak zwanych "kompromisach z pocztą e-mail", w których cyberprzestępcy przedstawiają się jako menedżerowie firmy, by podrabiać pracowników w celu przesyłania funduszy firmowych na konta bankowe kontrolowane przez hakerów. Federalne Biuro Śledcze szacuje, że takie oszustwa doprowadziły do ​​strat w wysokości 5 miliardów dolarów od 2013 r., Podała SEC.

Oszustwo nie zawierało żadnego wyrafinowanego projektu, ale raczej wykorzystywało technologię do wykrywania ludzkich słabości w systemie kontroli, czytamy w raporcie.

"Nie pobieraliśmy opłat od dziewięciu badanych przez nas spółek, ale nasz raport podkreśla, że ​​wszystkie spółki publiczne mają obowiązek utrzymywania wystarczających wewnętrznych mechanizmów kontrolnych w zakresie rachunkowości i powinny brać pod uwagę cyberzagrożenia przy wypełnianiu tych obowiązków", Stephanie Avakian, zastępca dyrektora działu egzekwowania przepisów SEC, powiedział w oświadczeniu.

SEC nie zidentyfikowała spółek, ale stwierdziła, że ​​uchybienia w zakresie kontroli wewnętrznych zostały wykryte tylko wtedy, gdy sprzedawcy informowali władze o braku płatności na kilku zaległych fakturach.

Organy regulacyjne i prawodawcy w coraz większym stopniu koncentrują się na zagrożeniach, jakie cyberprzestępcy stanowią dla firm i ich klientów po serii głośnych incydentów. Wśród złych hakerów znaleźli się w ubiegłym roku w firmie Equifax zajmującej się oceną wiarygodności kredytowej, która zawiera dane osobowe ponad 145 milionów osób.

W ubiegłym tygodniu, Facebook Inc powiedział, że hakerzy wykradli dane z 29 milionów kont Facebooka, dodając do obaw użytkowników i inwestorów o firmie, która przeszła serię cyber-skandali.

Po naruszeniu Equifax, SEC wydała zaktualizowane wskazówki dotyczące tego, w jaki sposób i kiedy firmy powinny ujawniać zagrożenia i naruszenia bezpieczeństwa cybernetycznego, w tym potencjalne słabości, które nie zostały jeszcze celowane przez hakerów, ale mogą stanowić informacje poufne.