Las nuevas reglas de divulgación de ciberseguridad introducidas por la Comisión de Bolsa y Valores de EE. UU. (SEC) el año pasado han provocado un aumento significativo en los informes de incidentes de las empresas públicas, pero la mayoría de los informes no incluyen el impacto material de estos incidentes, según una ley. Firma especializada en finanzas y actividades de fusiones y adquisiciones.
Análisis de Paul Hastings LLP descubrió que los informes de incidentes de ciberseguridad han aumentado un 60% desde que la regla de divulgación entró en vigor en 2023. Las regulaciones de la SEC exigen que las empresas públicas revelen incidentes importantes de ciberseguridad dentro de los cuatro días hábiles siguientes a la determinación de su importancia. Material, en este caso, significa que el incidente puede afectar la decisión de una persona de invertir o no en el negocio. Determinar la materialidad implica considerar el impacto inmediato y los efectos a largo plazo en las operaciones de una empresa, las relaciones con los clientes, el impacto financiero, la reputación o percepción de la marca y los posibles litigios o acciones regulatorias.
Como muestra el gráfico anterior, el impacto de la regulación se extiende a muchos sectores. Si bien el sector de servicios financieros registró el mayor número de noticias, los sectores manufacturero y sanitario también se vieron muy afectados. Los minoristas de automoción y las entidades minoristas también se han visto afectados por ciberataques y han tenido que denunciar estos incidentes.
Menos del 10% de las divulgaciones detallaron los impactos materiales de los incidentes, lo que sugiere que las empresas están luchando por equilibrar la presentación de informes detallados con la protección de los detalles de las operaciones internas. El informe incluía ejemplos de lo que se consideraba material, como que Basset Furniture Industries señalara que las operaciones comerciales se vieron afectadas materialmente hasta que se completaran los esfuerzos de recuperación, o que First American Financial revelara ganancias por acción ajustadas para los resultados financieros del cuarto trimestre y cuantificara las pérdidas de la compañía. Presentaciones ante la SEC.
Algunas empresas (13%) optaron por proporcionar un comunicado de prensa o una referencia a una publicación de blog para brindar más detalles sobre el incidente.
Impacto de las violaciones de terceros
Uno de cada cuatro incidentes mencionados en el informe fue una infracción de terceros. Las empresas luchan por determinar si deben revelar violaciones de terceros, especialmente si otras víctimas han revelado los incidentes. El sector minorista de automóviles se vio principalmente afectado por el ataque de ransomware contra proveedor de software para automoción CDK Global en junio. La empresa pagó un rescate de 25 millones de dólares. La empresa matriz de CDK, Brookfield Business Partners, dijo en su comunicado de julio que la empresa “no esperaba que este incidente tuviera un impacto material”. Muchas pequeñas empresas de automóviles afirmaron que el incidente del CDK tuvo consecuencias materiales.
La SEC anunció recientemente acuerdos de ejecución con cuatro clientes de SolarWinds por supuestamente haber hecho revelaciones engañosas sobre cómo se vieron afectados por el ciberataque. Dos de los cuatro hicieron públicos los incidentes, pero no revelaron todos los hechos importantes conocidos en ese momento, como el nombre del autor de la amenaza, la naturaleza de la información robada y el número de cuentas a las que se accedió. Los otros dos no revelaron los incidentes y la SEC dijo que deberían haber revelado el impacto.
¿Velocidad o más detalles?
Más de las tres cuartas partes (78%) de las revelaciones se realizaron dentro de los ocho días posteriores al descubrimiento del incidente. La SEC ha aclarado que la fecha límite de divulgación no es cuatro días hábiles después del descubrimiento del incidente, sino cuando se ha determinado la materialidad, pero la mayoría de las empresas han optado por actuar con rapidez. Un tercio (32%) presentó una denuncia dentro de los cuatro días posteriores al descubrimiento. Esto sugiere que las empresas están informando rápidamente para evitar ser sancionadas por la SEC por divulgación tardía, pero demasiado rápido porque aún no han determinado todas las implicaciones del incidente. Esta puede ser la razón por la que el 42% de las empresas terminaron presentando múltiples informes por el mismo incidente, proporcionando cada vez más detalles, como pérdidas cuantificables, impacto en los datos personales de los clientes y notificaciones a individuos y reguladores.
“Las empresas deberían continuar evaluando los controles de divulgación y realizar ejercicios prácticos para practicar la toma de decisiones necesarias para tomar decisiones tan importantes en caso de un incidente cibernético”, dijeron los autores del informe.