סנטורים דורשים לחייב חברות ציבוריות לדווח על זליגת נתונים

סנטורים קוראים לרשות האמריקנית לניירות ערך (SEC) להבהיר את הכללים שלפיהם חייבות חברות ציבוריות לפעול במקרה של זליגת נתונים.

"מנהלי חברות חייבים לדעת כיצד באחריותם לנהל דיווח על סיכוני אבטחה", נכתב במכתב ששלחו ליושב ראש SEC, מרי שפירו, חמישה סנטורים מהוועדה למסחר, מדע ותחבורה – כולם מהמפלגה הדמוקרטית.

על פי הודעה שפרסם הסנטור ג'ון די. רוקפלר (דמוקרט מווירג'יניה), שעומד בראש הוועדה ונמנה על חותמי המכתב, "על SEC להבהיר את הדרישות לדיווח על תקריות אבטחה על מנת להבטיח שהציבור בארצות הברית ידע יותר פרטים בעקבות חדירה של פורצים למערכות מחשב של חברות".

במכתב מצוטט מחקר שערכה ב-2009 חברת Hiscox, שפועלת בענף החיתום הביטוחי, ובו נמצא, כי "38% מהחברות ברשימת פורצ'ן 500 (Fortune 500) לא הזכירו בדו"חות (השנתיים) שהגישו (לרשות האמריקנית לניירות ערך) מקרים של פגיעה בפרטיות או זליגת נתונים".

במחקר נמצא, כי השיעור הגבוה ביותר של אי דיווח מצוי דווקא בענף התשתיות הקריטיות בארצות הברית. על פי הנתונים, "46% מהחברות שמספקות שירותים פיננסיים, 50% מחברות הטלקום ו-80% מהחברות בענף התשתיות הקריטיות" לא דיווחו על זליגת נתונים. לפחות ב-2009, רק 7% מהחברות הציבוריות הצפינו באופן מלא נתונים רגישים.

עוד תוהים הסנטורים לגבי השיטות לניהול סיכונים בחברות שנדרשות לדווח על סיכוני האבטחה. לפי המכתב, "בבדיקה שערכנו לגבי המקרים האחרונים של זליגת נתונים מצאנו תיאורים כלליים של הסיכונים במתקפות מסוימות, אך לא מצאנו מידע על הצעדים שנקטו החברות כדי לצמצם את החשיפה לסיכונים".

הסנטורים לא מצאו גם מספיק מידע על גניבה של קניין רוחני או סודות מסחריים. "החוק הפדרלי מחייב לדווח על כל פריצה לרשת, ובכלל זה פריצות שבהן נגנב מידע סודי של החברה שיכול לשמש לפגיעה בכושר התחרות שלה בשוק, לפגיעה ברווחי החברה ולהקטנת נתח השוק שלה", כתבו הסנטורים. הם ציינו, כי הסתרה של מידע כזה עלולה לפגוע ביכולתם של המשקיעים לקבל החלטות מושכלות.

"קודם כל, יש לחייב את החברות לדווח על תקריות אבטחה", כתב רוב רשוולד, מנהל אבטחה בחברת אימפרבה (Impreva), בהודעה שפרסם בבלוג.