La administración Biden ha expresado a los representantes del Congreso su firme oposición a derogar la estricta regla de notificación de violaciones de datos de la Comisión de Bolsa y Valores (SEC). En una declaración de política [PDF] Publicado ayer por la Oficina de Gestión y Presupuesto (OMB) de Biden, la administración dijo que «se opone firmemente» a la Resolución Conjunta 50 del Senado, presentada en noviembre por el senador Thom Tillis (R-NC). La resolución conjunta, junto con la Resolución Conjunta 100 de la Cámara de Representantes, patrocinada por el Representante Andrew Garbarino (R-NY) y presentada el mismo día, anularía las reglas de la SEC adoptadas en julio del año pasado. La norma de la SEC exige que las empresas públicas afectadas por ciberdelincuentes informen del incidente en un plazo de cuatro días. Dado que la principal preocupación de la SEC es proteger a los inversores, al organismo le preocupan principalmente las infracciones que podrían tener un efecto «material» en los resultados de una empresa y, por tanto, presentar un riesgo para los accionistas. «La falta de transparencia por parte de las empresas públicas sobre los incidentes cibernéticos que afectan sus operaciones y datos está alimentando el aumento de los ciberataques en todos los sectores y todas las industrias», dijo la OMB de Biden en su objeción al proyecto de ley del Senado. «Una mayor transparencia sobre los incidentes cibernéticos, como lo exige la norma de la SEC, incentivará a los ejecutivos corporativos a invertir en ciberseguridad y gestión de riesgos cibernéticos». «Si al presidente se le presentara la SJ Res. 50, la vetará», dijo la OMB. Deshacer cualquier requisito de denuncia de incumplimientos parece contrario al trabajo que debería realizar un senador; Le pedimos a la oficina de Tillis que explicara su razonamiento, pero no recibimos respuesta. Garbarino, por otro lado, emitió una declaración en noviembre después de presentar su resolución complementaria en la Cámara que deja clara su posición sobre el asunto: los requisitos de notificación de infracciones son trabajo de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA). «Esta regla de divulgación de seguridad cibernética es una extralimitación total por parte de la SEC y está en conflicto directo con la intención del Congreso», dijo Garbarino en el comunicado de noviembre. «A CISA, como principal agencia civil de ciberseguridad, se le ha encomendado la tarea de desarrollar y emitir regulaciones para la notificación de incidentes cibernéticos en lo que respecta a las entidades cubiertas». Garbarino dijo que el Congreso y la administración Biden están en la misma página con respecto a la armonización de los requisitos de informes de ciberseguridad (aunque ese no parece ser el caso según la declaración de política de la OMB). También dijo que la SEC simplemente estaba creando requisitos duplicados que «cargan aún más a una fuerza laboral de ciberseguridad con escasez de personal con requisitos de presentación de informes adicionales e innecesarios». Parte de esas preocupaciones pueden surgir de la naturaleza pública de los informes de incidentes de la SEC, que deben presentarse en el formulario SEC 8-K, cuyo contenido es público. Las divulgaciones deben incluir el alcance, el momento y la naturaleza del incidente, aunque la divulgación puede retrasarse si el Fiscal General de los Estados Unidos determina que hacerlo representaría un riesgo para la seguridad nacional o pública. Tillis, en un breve comentario sobre la publicación de Garbarino, sólo describió la regla de presentación de informes de la SEC como si el presidente de la Comisión, Gary Gensler, estuviera haciendo todo lo posible «para perjudicar a los participantes del mercado al sobrerregular a las empresas hasta el olvido», con una regla onerosa «que crea cronogramas poco realistas y trámites burocráticos innecesarios que en última instancia, hará que los mercados sean menos seguros en general». No está claro qué piensan el senador y el congresista sobre el requisito de informe de incumplimiento de 30 días de la Comisión Federal de Comercio (FTC) aprobado en octubre, que no se menciona en la declaración ni en las resoluciones anteriores. Alguien tiene que hacer algo A pesar de la creencia profesada por Garbarino de que CISA es la que debería manejar los requisitos de informes de incumplimiento, la agencia aún tiene que aprobar ninguna norma que lo haga. El presidente Biden promulgó la Ley de Informes de Incidentes Cibernéticos para Infraestructuras Críticas (CIRCIA) en marzo de 2022, pero CISA tuvo 24 meses desde su aprobación (marzo de 2024) para presentar una norma para su consideración, lo cual aún no ha hecho. Cuando los requisitos de presentación de informes de CISA finalmente entren en vigor, la ventana de divulgación será incluso más pequeña que la de la SEC. CIRCIA pidió a CISA que diera a las víctimas de incidentes de ciberseguridad tan solo 72 horas (tres días) para denunciar una infracción. Mientras tanto, la FTC y la SEC han tomado el asunto en sus propias manos, lo que parece estar ayudando: incluso hemos podido informar sobre infracciones en empresas como HPE gracias a los informes de la SEC. Como se informó anteriormente, el número de víctimas que pagan a los operadores de ransomware se ha reducido al 29 por ciento. La empresa detrás de esa estadística, la firma de negociación de ransomware Coveware, atribuye gran parte de la disminución en los pagos de rescate en los últimos meses a los requisitos de presentación de informes de la SEC y la FTC. Esos pagos han disminuido a pesar de lo que la OMB de la Casa Blanca dijo que era un aumento del 45 por ciento en los ataques de ransomware año tras año. «Revertir la reglamentación de la SEC no sólo pondría en desventaja a los inversores… sino que también haría que las empresas subvaloraran las inversiones en programas cibernéticos en detrimento de nuestra seguridad económica y nacional», dijo la OMB. Por otra parte, tal vez otorgar a la SEC autoridad para informar sobre ciberseguridad no sea la mejor decisión; después de todo, la agencia ni siquiera puede mantener segura su cuenta de Twitter. ®

Source link