Các quy tắc an ninh mạng mới của Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) có hiệu lực từ giữa tháng 12/2023 được cho là có tác động đáng kể đến mọi tổ chức của Mỹ và pháp nhân nước ngoài kinh doanh tại đây.
Quy định yêu cầu các công ty tăng cường đầu tư vào an ninh mạng và mở ra nhiều cơ hội kinh doanh mới cho các công ty bảo mật. Một số công ty mạng đã ngay lập tức nắm bắt được cơ hội và ghi nhận doanh thu tăng nhanh chóng. Bên cạnh đó, những công ty khác quan tâm đến các yêu cầu mới này được dự đoán sẽ có thêm nhiều cơ hội kinh doanh trong thời gian tới.
Thông tin về quy định mới của SEC
Một trong những quy định được quan tâm nhất yêu cầu các công ty phải báo cáo các vụ việc đột nhập mạng nghiêm trọng cho SEC và thông cáo đại chúng trong vòng bốn ngày. Theo thông báo chính thức của SEC: "Quy định mới sẽ yêu cầu các doanh nghiệp phải báo cáo ở mục 1.05 của Biểu mẫu 8-K bất kỳ sự cố an ninh mạng nào họ xác định là quan trọng và mô tả các khía cạnh quan trọng về tính chất, phạm vi, thời gian và mức độ trọng yếu của sự cố. Thông tin này thường sẽ phải được nộp trong vòng bốn ngày làm việc sau khi công ty xác định rằng một sự cố an ninh mạng là quan trọng."
Trọng yếu là gì?
Quy định của SEC yêu cầu các thông tin liên quan đến đến “tính trọng yếu” của vụ việc. Trọng yếu là một tiêu chuẩn được chấp nhận trong kế toán quy định rằng một sự kiện chỉ cần báo cáo với các bên liên quan (ví dụ: khách hàng, cổ đông, cơ quan quản lý, v.v.) nếu việc bỏ qua yếu tố đó sẽ ảnh hưởng đến quyết định kinh tế của người đọc thông tin hoặc gây sai lệch đến báo cáo tài chính.
Hiện tại, chưa có số lượng hoặc phần trăm cụ thể nào để công ty nhận định một sự kiện là trọng yếu hay không, việc xem xét điều gì là "trọng yếu" hoặc "không trọng yếu" có thể thay đổi tùy thuộc vào các bên liên quan và từng sự kiện. Khi chưa thể đưa ra kết luận ngay lập tức, các chuyên gia cần cân nhắc "liệu điều này có quan trọng đối với người đọc báo cáo tài chính hay không". Theo SEC, một sự cố được xem là trọng yếu khi ảnh hưởng từ 0,5% đến 5% tổng tài sản của doanh nghiệp.
Quy tắc mới nêu rõ các công ty cần phải báo cáo vụ đột nhập mạng trong vòng bốn ngày kể từ khi xác định mức độ nghiêm trọng của vụ việc, KHÔNG phải trong vòng bốn ngày kể từ khi sự kiện xảy ra. SEC cũng cho phép các doanh nghiệp đẩy lùi thời gian báo cáo nếu Bộ trưởng Tư pháp Hoa Kỳ xác định rằng thời gian báo cáo chính xác sẽ đe dọa đến an ninh quốc gia hoặc an toàn công cộng và Bộ trưởng đưa ra thông báo khác cho SEC về vấn đề này.
Coveware, một chuyên gia an ninh mạng, cho rằng trong các vụ tấn công mã độc đòi tiền chuộc (ransomware), trung bình số tiền thủ phạm tống tiền nạn nhân là 740.144 USD và số tiền trung bình nạn nhân trả là 190.424 USD. Thời gian gián đoạn dịch vụ do xảy ra sự cố trung bình là 9 ngày. Chi phí khắc phục sự cố khá đắt đỏ và thường cao hơn nhiều so với chi phí trả cho tin tặc, theo Know4U.
Tổng các loại chi phí (ví dụ: số tiền chuộc, thời gian tạm dừng hoạt động, chi phí phục hồi, v.v.) mà hầu hết nạn nhân bị tấn công ransomware toàn diện phải trả khả năng cao sẽ đạt tới “mức trọng yếu”. Các loại tấn công khác, không phải ransomware, không mã hóa (ví dụ: chỉ là rò rỉ dữ liệu), có thể gây thiệt hại thấp hơn cũng như thời gian gián đoạn ngắn hơn đáng kể.
Dù sao đi nữa, các chuyên gia CNTT không bao giờ nên tham gia vào quá trình xác định mức độ trọng yếu của vụ thiệt hại ngoài việc cung cấp các chi phí ước tính và thời gian phục hồi dự kiến. Mức trọng yếu nên được thực hiện bởi đội ngũ quản lý cấp cao với sự tư vấn của các chuyên gia pháp lý và kế toán. Áp dụng ngưỡng tối thiểu của SEC (0,5%), giả sử công ty có giá trị 1 tỷ đô, khoản thiệt từ 5 triệu đô có thể được xác định là trọng yếu.
Mỗi doanh nghiệp đều cần vạch ra một chương trình phản ứng sự cố bài bản, được thực hành thường xuyên và đạt tiêu chuẩn là chương trình phản ứng nhanh chóng. Nhiều công ty chưa có đội ngũ phản ứng sự cố chính thức giàu kinh nghiệm. Do đó, họ không thể báo cáo sự cố dữ liệu trong vòng 4 ngày nếu đội ngũ phản ứng thiếu kiến thức chuyên môn và không được đào tạo chuyên nghiệp. Vì vậy, theo KnowBe4, trong thời gian tới, sẽ có nhiều công ty tuyển dụng các nhân sự phản ứng sự cố và/hoặc để mắt đến những đơn vị trong lĩnh vực này.
Mục 106: Tăng cường sự tham gia của Ban Giám đốc vào lĩnh vực An ninh mạng
Một quy định mới khác của SEC dự kiến có tác động lớn hơn vì ảnh hưởng đến mọi công ty chịu quản lý, không chỉ riêng những công ty bị tấn công mạng, nêu rõ:
"Quy định mới S-K mục 106 yêu cầu các công ty mô tả quá trình, nếu có, để đánh giá, xác định và quản lý các rủi ro nghiêm trọng từ các mối đe dọa an ninh mạng cũng như liệu có bất kỳ rủi ro nào từ các mối đe dọa an ninh mạng, bao gồm kết quả từ các sự cố an ninh mạng trước đó, đã ảnh hưởng đáng kể hoặc có khả năng ảnh hưởng đáng kể đến công ty. Mục 106 cũng yêu cầu các công ty trình bày những sự giám sát của ban giám đốc đối với các rủi ro từ các mối đe dọa an ninh mạng cũng như vai trò, chuyên môn của các nhà quản trị trong việc đánh giá và quản lý các rủi ro quan trọng từ các mối đe dọa an ninh mạng."
Với quy định này, SEC đang đề cập đến ba vấn đề quan trọng. Một công ty, bao gồm ban giám đốc và quản lý cấp cao, phải mô tả:
1. Chương trình an ninh mạng của họ
2. Cách ban giám đốc giám sát các rủi ro an ninh mạng
3. Cách các nhà quản trị đánh giá và quản lý các rủi ro quan trọng từ các mối đe dọa an ninh mạng.
Như vậy, những người trong ban điều hành công ty đều phải tham gia trực tiếp vào quy trình bảo mật. Nếu không chứng minh được việc tham gia trực tiếp vào quá trình xác định và quản lý các rủi ro an ninh mạng, họ sẽ gặp rắc rối lớn về mặt pháp lý.
Do hạn cuối là ngày 15/12/2023 để tìm hiểu, trang bị kiến thức và mô tả bằng văn bản pháp lý, đây là thách thức với không ít doanh nghiệp. Những công ty an ninh mạng cung cấp dịch vụ hỗ trợ cho ban giám đốc, quản trị cấp cao được kỳ vọng sẽ tăng trưởng đáng kể về doanh số kinh doanh và doanh thu trong tương lai
