В США усиливают требования извещать об утечках данных

Комиссия по ценным бумагам и биржам (Securities and Exchange Commission, «SEC») предложила правила и поправки для улучшения и стандартизации отчетности об инцидентах кибербезопасности (в т.ч. утечках данных) и управления рисками. Правила приняты 9 марта 2022 года, но пока не вступили в силу. В период общественного обсуждения проект подвергся критике, в том числе за короткий срок извещения об инциденте, в качестве аргумента приводилось мнение, что сообщение об инциденте (в т.ч. утечке данных) до того, как будет проведено расследование и все факты станут известны, может предупредить хакеров, помешать усилиям правоохранительных органов и спровоцировать судебные иски, особенно если предварительные заявления компании окажутся неточными.

Проект правил содержит требования к публичным компаниям:

• раскрывать информацию о существенных инцидентах кибербезопасности в течение четырех рабочих дней после определения того, что они столкнулись с таким инцидентом;
• обновлять ранее раскрытую информацию о киберинциденте;
• сообщать о несущественных инцидентах кибербезопасности, которые в совокупности становятся существенными.

Также предлагается требовать от компаний раскрывать свои политики и процедуры, если таковые имеются, для выявления и управления рисками кибербезопасности, в том числе о надзоре совета директоров за рисками кибербезопасности, а также о роли и опыте руководства в оценке и управлении рисками кибербезопасности и реализации политики компании в области кибербезопасности.

15 марта 2022 года президент США Байден подписал закон об отчетности о кибер-инцидентах для критически важной инфраструктуры (Cyber Incident Reporting for Critical Infrastructure Act, CIRCIA), который налагает требования к отчетности для поставщиков услуг (провайдеров) для критически важной инфраструктуры.

Но требования вступят в силу только после публикации соответствующего уведомления и принятия окончательных правил, то есть через 42 месяца – 15 сентября 2025 года.

Требования касаются организаций, которые будут дополнительно определены, а сейчас это компании, попадающие в один или несколько из шестнадцати «критических секторов инфраструктуры», к которым относятся связь, критическое производство, энергетика, финансовые услуги, здравоохранение, информационные технологии и др.

Подпадающие под действие закона организации должны будут сообщать в Агентство кибербезопасности и безопасности инфраструктуры (CISA) о киберинцидентах (но не затронутым лицам) в течение 72 часов и сообщать о платежах, сделанных в ответ на атаки программ-вымогателей, в течение 24 часов.

Сообщать необходимо, когда:

• киберинцидент приводит к существенной потере конфиденциальности, целостности или доступности информационной системы или сети, или серьезному влиянию на безопасность и отказоустойчивость операционных систем и процессов;
• бизнес-процессы или промышленные процессы (операции) нарушены, среди прочего, атакой типа «отказ в обслуживании», атакой программы-вымогателя или использованием уязвимости нулевого дня;
• несанкционированный доступ или прерывание бизнес-процессов вызвано потерей обслуживания, вызванной компрометацией поставщика облачных услуг, поставщика управляемых услуг или другого стороннего поставщика хостинга данных, или вызванным компрометацией цепочки поставок.

При подаче отчетов в CISA организации должны будут описать, в том числе, уязвимости, которые были использованы, предполагаемый диапазон дат инцидента, влияние на операции и категории данных, к которой был осуществлен доступ или которые были получены. В случае инцидентов с программами-вымогателями также необходимо будет сообщать информацию о затребованном выкупе. Организации должны будут предоставлять оперативные обновления, если станет доступной существенная новая или другая информация, или если они выплатят деньги вымогателям уже после отправки отчета.

CISA будет обязана рассмотреть отчеты для того, чтобы определить, связаны ли заявленные инциденты с продолжающейся киберугрозой или уязвимостью системы безопасности, и использовать отчеты в соответствующих случаях для выявления, разработки и распространения анонимной информации о киберугрозах и защитных мер.

Закон (CIRCIA) включает положения, запрещающие CISA распространять любую личную информацию, а также защищающие от потери коммерческой тайны и адвокатской тайны. Кроме того, организации, подавшие такие отчеты, будут освобождены от запросов в соответствии с Законом о свободе информации.

Интересно, что закон (CIRCIA) запрещает физическим или юридическим лицам подавать иски против застрахованного лица исключительно на основании представления застрахованным лицом требуемого отчета. Однако закон разрешает судебные иски, когда киберинцидент обнаруживается другими способами.

Если застрахованное лицо не представит обязательный отчет, закон разрешает CISA направлять запросы и, если компания не выполнит требования в течение 72 часов, вызвать её суд. На основании полученной информации CISA может передать дело в Министерство юстиции для расследования и исполнения.

1 апреля 2022 г. вступило в силу и стало обязательными для исполнения 1 мая 2022 г.

«Итоговое правило о требованиях к уведомлению об инцидентах компьютерной безопасности для банковских организаций и их поставщиков банковских услуг (Final Rule on Computer-Security Incident Notification Requirements for Banking Organizations and Their Bank Service Providers)», разработанное банковскими регуляторами: Федеральная корпорация по страхованию депозитов (Federal Deposit Insurance Corporation, FDIC), Управление валютного контролера (Office of the Comptroller of the Currency, OCC), Совет Федеральной резервной системы (Federal Reserve Board, FRB). В документе содержатся требования к банковским организациям и их поставщикам (банковских услуг).

Банковская организация должна уведомлять свой регулирующий орган об «инциденте с уведомлением» «как можно скорее, но не позднее, чем через 36 часов после того, как банковская организация определила, что инцидент с уведомлением произошел».

При этом к «инциденту с уведомлением» относят и нанесение ущерба конфиденциальности (утечки данных).

Поставщик услуг банковской организации обязан как можно скорее уведомить каждого затронутого клиента банковской организации, когда этот поставщик банковских услуг определяет, что он столкнулся с происшествием, которое нанесло реальный ущерб конфиденциальности, целостности или доступности информационной системы или информации (…), и которое привело или с достаточной вероятностью может привести к существенному нарушению или ухудшению качества покрываемых услуг на четыре или более часов.

20 мая 2022 года Федеральная торговая комиссия (Federal Trade Commission, FTC) подтвердила свою позицию о том, что закон о ней (FTC Act), который защищает потребителей от обмана и недобросовестной деловой практики, де-факто требует от предприятий своевременно уведомлять пострадавших потребителей об утечках данных.

В России существуют требования об уведомлении об инцидентах компьютерной безопасности для объектов КИИ (ИС, АСУ, ИТКС), но отсутствует применительно к утечкам данных. Прецеденты публичного информирования об утечках информации в нашей стране уже есть, но они происходят после распространения данных и публикаций об этом, а не до.

Источник