Publicado el: 13 de diciembre de 2023

Esta semana, el FBI emitió un aviso de política, que describe las reglas que las empresas deben seguir para solicitar un retraso en la notificación de incidentes cibernéticos a la Comisión de Bolsa y Valores (SEC).

Según la documento, las empresas pueden solicitar al DOJ (Departamento de Justicia), a través del FBI, un retraso de hasta 30 días si la divulgación representa un riesgo para la seguridad nacional o amenaza la seguridad pública de alguien. El departamento puede conceder una solicitud de hasta 60 días hábiles adicionales en “circunstancias extraordinarias” que se consideren un riesgo sustancial para la seguridad nacional. Sin embargo, el FBI dijo que esto no se aplica a los riesgos para la seguridad pública.

El FBI documentará cada solicitud que reciba, coordinará “verificaciones de las acciones de seguridad nacional y de seguridad pública del gobierno de Estados Unidos” y las enviará al Departamento de Justicia para su revisión.

“Después de que el FBI haga una remisión basada en verificaciones de acciones y procedimientos de investigación, el Departamento de Justicia emitirá una determinación de demora. Esta determinación se comunicará por escrito simultáneamente a la víctima y a la SEC. Si el DOJ aprueba la solicitud de demora, el FBI debe invitar a la víctima a presentar cualquier solicitud de extensión de demora a la Oficina. Próximamente habrá una dirección de correo electrónico donde las víctimas pueden enviar dichas solicitudes”, explicó el FBI.

El FBI y el DOJ determinarán si la situación justifica un retraso basándose en una variedad de factores, incluido el tipo de vulnerabilidad que se aprovechó cuando tuvo lugar el ataque inicial y la industria de la víctima.

"Si se trata de algo así como un día cero y un Estado-nación, probablemente nos inclinemos más hacia la posibilidad de tener una preocupación por esa divulgación en términos del beneficio del riesgo para la seguridad nacional en lugar de una especie de phishing común y corriente. ataque”, dijo el fiscal general adjunto del Departamento de Justicia, Eun Young Choi. "Esas son determinaciones caso por caso que vamos a tener que tomar".

Una advertencia importante para las empresas que quieran solicitar un retraso es que deben informar inmediatamente el incidente una vez que determinen que es material. La oficina explica que un incidente importante de ciberseguridad es aquel en el que “existe una probabilidad sustancial de que un accionista razonable lo considere importante” en el caso de tomar una decisión de inversión.

"Las solicitudes de retraso no se procesarán a menos que se realicen inmediatamente después de que la empresa determine la materialidad", señaló el FBI, y agregó que si la empresa no está segura de si el incidente es material, aún así debe comunicarse inmediatamente con el FBI y sus agentes. ayudará a determinar si es material.

El aviso de política del FBI llega poco más de una semana antes de que las nuevas reglas que la SEC aprobó a principios de este año entren en vigor el 18 de diciembre. Requieren que las empresas completen un formulario 8-K y lo envíen a la SEC dentro de los 4 días hábiles posteriores a un incidente de ciberseguridad. incidente que tiene lugar.

La oficina “recomienda encarecidamente a las empresas que se pongan en contacto con el FBI poco después de que se descubra un incidente cibernético. Esta comunicación temprana permite al FBI familiarizarse con los hechos y circunstancias de un incidente antes de que la empresa tome una determinación de materialidad”.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.safetydetectives.com/news/fbi-details-how-companies-can-delay-sec-cyberattack-disclosures/