Aturan pengungkapan keamanan siber baru yang diperkenalkan oleh Komisi Sekuritas dan Bursa AS (SEC) tahun lalu telah menghasilkan peningkatan signifikan dalam laporan insiden dari perusahaan publik, namun sebagian besar laporan tersebut tidak mencakup dampak material dari insiden tersebut, menurut undang-undang. perusahaan yang berspesialisasi dalam keuangan dan kegiatan M&A.
Analisis oleh Paul Hastings LLP menemukan bahwa laporan insiden keamanan siber telah meningkat sebesar 60% sejak aturan pengungkapan mulai berlaku pada tahun 2023. Peraturan SEC mewajibkan perusahaan publik untuk mengungkapkan insiden keamanan siber yang material dalam waktu empat hari kerja setelah menentukan materialitasnya. Material dalam hal ini berarti kejadian tersebut dapat mempengaruhi keputusan seseorang untuk berinvestasi pada perusahaan tersebut. Menentukan materialitas melibatkan pertimbangan dampak langsung dan dampak jangka panjang terhadap operasi perusahaan, hubungan pelanggan, dampak finansial, reputasi atau persepsi merek, dan potensi litigasi atau tindakan regulasi.
Seperti yang terlihat pada grafik di atas, dampak peraturan ini mencakup banyak industri. Meskipun sektor jasa keuangan menyumbang jumlah laporan keterbukaan terbesar, sektor industri dan layanan kesehatan juga terkena dampak paling besar. Ritel otomotif dan entitas ritel juga terkena serangan siber dan harus melaporkan insiden tersebut.
Kurang dari 10% pengungkapan yang merinci dampak material dari insiden tersebut, menunjukkan bahwa perusahaan mengalami kesulitan dalam menyeimbangkan pelaporan terperinci dengan melindungi rincian operasi internal. Laporan tersebut mencakup contoh-contoh yang dianggap material, seperti Basset Furniture Industries yang menyatakan bahwa operasi bisnis terkena dampak material hingga upaya pemulihan selesai, atau First American Financial mengungkapkan laba per saham yang disesuaikan untuk hasil keuangan kuartal keempat dan menghitung kerugian dalam laporan keuangan perusahaan. Pengajuan SEC.
Beberapa perusahaan (13%) memilih untuk memberikan siaran pers atau referensi ke postingan blog untuk memberikan rincian lebih lanjut tentang insiden tersebut.
Dampak Pelanggaran Pihak Ketiga
Satu dari empat insiden dalam laporan tersebut merupakan pelanggaran pihak ketiga. Perusahaan-perusahaan sedang berjuang untuk menentukan apakah akan mengungkapkan pelanggaran pihak ketiga, terutama jika korban lain telah mengungkapkan insiden tersebut. Sektor ritel otomotif terutama terkena dampak serangan ransomware penyedia perangkat lunak otomotif CDK Global pada bulan Juni. Perusahaan membayar uang tebusan sebesar $25 juta. Perusahaan induk CDK, Brookfield Business Partners, mengatakan dalam pengungkapannya pada bulan Juli bahwa perusahaannya tidak “mengharapkan insiden ini memiliki dampak yang material.” Banyak perusahaan otomotif kecil mengklaim adanya dampak material akibat insiden CDK.
SEC baru-baru ini mengumumkan penyelesaian penegakan hukum dengan empat pelanggan SolarWinds karena diduga membuat pengungkapan yang menyesatkan terkait dampak serangan siber terhadap mereka. Dua dari empat orang tersebut secara terbuka mengungkapkan insiden tersebut tetapi tidak mengungkapkan semua fakta penting yang diketahui pada saat itu, seperti nama pelaku ancaman, sifat informasi yang dicuri, dan jumlah akun yang diakses. Dua perusahaan lainnya tidak mengungkapkan insiden tersebut, dan SEC mengatakan mereka seharusnya mengungkapkan dampaknya.
Kecepatan atau Detail Lebih Lanjut?
Lebih dari tiga perempat (78%) pengungkapan dilakukan dalam waktu delapan hari setelah insiden tersebut ditemukan. SEC menetapkan bahwa batas waktu untuk mengungkapkannya bukan empat hari kerja setelah insiden ditemukan, melainkan ketika materialitas telah ditentukan, namun sebagian besar perusahaan memilih untuk bertindak cepat. Sepertiga (32%) mengajukan dalam waktu empat hari setelah penemuan. Hal ini menunjukkan bahwa perusahaan melaporkan dengan cepat untuk menghindari denda dari SEC karena keterlambatan pengungkapan, namun terlalu cepat karena mereka belum menentukan implikasi penuh dari insiden tersebut. Hal ini mungkin menjadi alasan mengapa 42% perusahaan akhirnya mengajukan beberapa laporan untuk insiden yang sama, dan setiap kali memberikan rincian lebih lanjut, seperti kerugian yang dapat diukur, dampak terhadap data pribadi pelanggan, dan pemberitahuan kepada individu dan regulator.
“Perusahaan harus terus mengevaluasi pengendalian pengungkapan dan terlibat dalam latihan meja untuk mempraktikkan pengambilan keputusan yang diperlukan untuk membuat keputusan materialitas jika terjadi insiden dunia maya,” kata penulis laporan tersebut.
