SEC ostrzega, że słabość sieci korporacyjnej może naruszać prawo federalne
WASHINGTON (Reuters) – Firmy publiczne, które nie zacieśnią kontroli w zakresie cyberbezpieczeństwa, mogą naruszać prawo federalne – poinformowała we wtorek amerykańska Komisja Papierów Wartościowych i Giełd (SEC).
Logo Komisji Papierów Wartościowych i Giełd amerykańskich zdobią drzwi biurowe w siedzibie głównej SEC w Waszyngtonie, 24 czerwca 2011 r. REUTERS / Jonathan Ernst
Ostrzegawczy organ nadzoru przyszedł w formie raportu z dochodzenia, aby ocenić, czy dziewięć przedsiębiorstw, które padły ofiarą oszustw związanych z cyberprzestępstwem, miało wystarczające wewnętrzne mechanizmy kontroli rachunkowości wymagane przez prawo.
Skoncentrowano się na tak zwanych "kompromisach z pocztą e-mail", w których cyberprzestępcy przedstawiają się jako menedżerowie firmy, by podrabiać pracowników w celu przesyłania funduszy firmowych na konta bankowe kontrolowane przez hakerów. Federalne Biuro Śledcze szacuje, że takie oszustwa doprowadziły do strat w wysokości 5 miliardów dolarów od 2013 r., Podała SEC.
Oszustwo nie zawierało żadnego wyrafinowanego projektu, ale raczej wykorzystywało technologię do wykrywania ludzkich słabości w systemie kontroli, czytamy w raporcie.
"Nie pobieraliśmy opłat od dziewięciu badanych przez nas spółek, ale nasz raport podkreśla, że wszystkie spółki publiczne mają obowiązek utrzymywania wystarczających wewnętrznych mechanizmów kontrolnych w zakresie rachunkowości i powinny brać pod uwagę cyberzagrożenia przy wypełnianiu tych obowiązków", Stephanie Avakian, zastępca dyrektora działu egzekwowania przepisów SEC, powiedział w oświadczeniu.
SEC nie zidentyfikowała spółek, ale stwierdziła, że uchybienia w zakresie kontroli wewnętrznych zostały wykryte tylko wtedy, gdy sprzedawcy informowali władze o braku płatności na kilku zaległych fakturach.
Organy regulacyjne i prawodawcy w coraz większym stopniu koncentrują się na zagrożeniach, jakie cyberprzestępcy stanowią dla firm i ich klientów po serii głośnych incydentów. Wśród złych hakerów znaleźli się w ubiegłym roku w firmie Equifax zajmującej się oceną wiarygodności kredytowej, która zawiera dane osobowe ponad 145 milionów osób.
W ubiegłym tygodniu, Facebook Inc powiedział, że hakerzy wykradli dane z 29 milionów kont Facebooka, dodając do obaw użytkowników i inwestorów o firmie, która przeszła serię cyber-skandali.
Po naruszeniu Equifax, SEC wydała zaktualizowane wskazówki dotyczące tego, w jaki sposób i kiedy firmy powinny ujawniać zagrożenia i naruszenia bezpieczeństwa cybernetycznego, w tym potencjalne słabości, które nie zostały jeszcze celowane przez hakerów, ale mogą stanowić informacje poufne.
Zgłaszanie przez Katanga Johnson; Edycja: Michelle Price i Grant McCool