FBI 详细介绍公司如何延迟 SEC 网络攻击披露

关注： 0

彭卡·赫里斯托夫斯卡

发表于： 2023 年 12 月 13 日

美国联邦调查局 (FBI) 本周发布了一份政策通知，概述了公司在请求延迟向美国证券交易委员会 (SEC) 报告网络事件时必须遵守的规则。

据文件，如果披露造成国家安全风险或威胁某人的公共安全，公司可以通过 FBI 向 DOJ（司法部）请求最多 30 天的延迟。在被视为重大国家安全风险的“特殊情况”下，该部门可以批准最多 60 个额外工作日的请求。不过，联邦调查局表示，这不适用于公共安全风险。

联邦调查局将记录收到的每一项请求，协调“对美国政府国家安全和公共安全公平的检查”，并将其转发给司法部进行审查。

“在联邦调查局根据股权检查和事实调查程序提出转介后，司法部将发布延迟决定。该决定将以书面形式同时传达给受害者和 SEC。如果司法部批准延迟请求，联邦调查局应邀请受害者向该局提交任何延迟延期请求。受害者可以提交此类请求的电子邮件地址即将推出，”联邦调查局解释说。

FBI 和 DOJ 将根据多种因素来确定情况是否需要延迟，包括首次攻击发生时利用的漏洞类型以及受害者的行业。

“如果是零日漏洞和民族国家之类的东西，我们可能更倾向于对国家安全风险利益与普通网络钓鱼的披露感到担忧袭击，”司法部副助理总检察长 Eun Young Choi 说。 “这些是我们必须根据具体情况做出的决定。”

对于想要请求延迟的公司来说，一个重要的警告是，一旦确定事件严重，他们必须立即报告该事件。该局解释说，重大网络安全事件是指在做出投资决策时“理性的股东很可能认为该事件很重要”。

联邦调查局指出：“除非公司在确定事件的重要性后立即提出延迟请求，否则不会处理延迟请求。”并补充说，如果公司不确定事件是否重大，他们仍应立即联系联邦调查局和特工将有助于确定它是否重要。

FBI 的政策通知是在 SEC 今年早些时候批准的新规则于 18 月 8 日生效之前一周多一点发布的。新规则要求公司填写 4-K 并在网络安全发生后 XNUMX 个工作日内将其发送给 SEC事件发生。

该局“强烈鼓励公司在发现网络事件后立即联系联邦调查局。这种早期外展使联邦调查局能够在公司做出重要性决定之前熟悉事件的事实和情况。”

时间戳记： 2022 年 6 月 8 日

关于我们