Комиссия по ценным бумагам и биржам США (SEC) разработала новые нормы, касающиеся раскрытия информации об атаках на корпоративные компьютерные системы. Эти меры принимаются в связи с ростом числа хакерских атак на западные компании и кибершпионажа, в которые, как считается, активно вовлечены Китай и Россия. Однако критики считают, что эти правила будут полезнее хакерам, чем инвесторам.
Случаи взлома компьютерных систем крупных компаний учащаются, сообщает Bloomberg со ссылкой на американскую компанию Mandiant, специализирующуюся на защите от промышленного шпионажа. По словам представителя этой фирмы, более 20% фирм, входящих в Fortune 500 – список из пятисот крупнейших по уровню дохода мировых компаний, столкнулись с кибершпионажем. В целом за последнее десятилетие жертвами компьютерного шпионажа только из Китая стали более 2000 компаний, исследовательских центров и правительственных учреждений в США, приводит Bloomberg данные Джоэля Бреннера, возглавлявшего американскую контрразведку до 2009 года. В соответствии с представленным в ноябре 2011 года докладом, подготовленным одиннадцатью разведывательными агентствами США, в кибершпионаж активно вовлечены и российские хакеры, которых, как, например, считает американское агентство по безопасности Soufan Group, направляют российские госструктуры.
Самые значительные потери от киберпреступности несут компании, занимающиеся инновациями в аэрокосмической области, области полупроводниковых материалов, фармацевтике и биотехнологиях, отмечает Bloomberg. Потери от кибершпионажа в этих областях исчисляются миллиардами долларов.
И поскольку деятельность хакеров и кибершпионов несет все большие риски для корпоративного сектора, то Комиссия по ценным бумагам и биржам США SEC решила разработать правила, по которым инвесторы должны информироваться об их последствиях. "Мы опасаемся, что инвесторы не представляют, что именно они не знают", — говорит председатель SEC Мэри Шапиро, комментируя новые правила информирования инвесторов о взломах систем. По предложению комиссии, то, насколько подробно компании должны отчитываться перед инвесторами, зависит от решения корпоративных юристов – именно они будут определять, содержит ли взлом действительно серьезную угрозу безопасности, и может ли он сказаться на материальном положении компании.
Это будет тяжелой работой. Оценить вероятность ущерба корпоративным юристам будет непросто, считает специалист по оценке рисков Александр Табб, которого цитирует Bloomberg. Необходимо будет учитывать множество факторов, в том числе то, кто именно получил данные, и будут ли они в состоянии продать их или использовать для создания конкурентного продукта. Кроме того, само по себе обнародование информации о кибершпионаже несет в себе потенциальные риски. "Компаниям запрещается использовать нечеткие, общие описания проблемы, отчитываясь перед инвесторами, однако изложенные на бумаге детали взлома и возможные последствия могут стать настоящим пособием для хакеров, — считает Табб. — Документ [SEC] будет намного полезнее тем, кто хочет организовать хакерскую атаку на компанию, чем инвесторам".
