I membri del Congresso statunitense avevano richiesto nuove regole per la trasparenza riguardo agli attacchi informatici subiti dalle aziende, e la Securities and Exchange Commission (SEC) ha finalmente risposto con la pubblicazione di linee guida e obblighi specifici da adottare in caso di “rischi alla cyber-sicurezza e cyber-incidenti”.
Le linee guida pongono una serie di condizioni per la pubblicazione di dettagli su eventuali incidenti informatici, condizioni vincolanti per le aziende private quotate in Borsa e che saranno utili a valutarne l’affidabilità e le pratiche di sicurezza.
In particolare la SEC prevede ora che una azienda comunichi i rischi di un possibile attacco “se questi problemi sono compresi tra i fattori più significativi che rendono un investimento nell’azienda speculativo o rischioso”. Spetterà alle aziende valutare con attenzione l’importanza di questi fattori, e quindi la eventuale necessità di informare il pubblico sulla questione.
La trasparenza sui cyber-attacchi e i rischi di cyber-attacchi non sarà a ogni modo obbligatoria in tutti i casi, e le nuove regole della SEC dovrebbero appunto servire a stabilire quando l’obbligo sussiste e quando invece la vittima potrà non informare il pubblico.
Una delle regole che più fa discutere è certamente la possibilità per le aziende di vedersi costrette a fornire rapporti dettagliati in merito a incidenti già avvenuti in passato: se una società è già stata colpita da un malware che ha rubato dati sensibili degli utenti, suggerisce la SEC, comunicare che “esiste un rischio” di cyber-attacco non basterà, ma occorrerà fornire tutti i particolari dell’incidente subito.
Alfonso Maruccia
Ti potrebbe interessare
18 ott 2011