Amerika’nın en büyük bankacılık kuruluşları, şirketlerin siber saldırılardan sonra kamuoyunu bilgilendirmesini zorunlu kılan SEC kuralının kaldırılmasını talep etti. Gönderilen mektupta beş farklı bankacılık derneği, bu zorunluluğun ulusal güvenliği tehlikeye attığını ve fidye yazılımı saldırılarını daha da tehlikeli hale getirdiğini savundu.
Amerikan Bankacılar Birliği’nin öncülüğünde hazırlanan mektuba Citigroup, JPMorgan ve Bank of America gibi büyük bankaların da ortak olduğu bildirildi. Finans sektörü temsilcileri, dört gün içinde kamuya açıklama yapılmasını zorunlu tutan düzenlemenin, olaylara müdahale süreçlerini yavaşlattığını ve saldırganların elini güçlendirdiğini belirtti.
SEC’in “Cybersecurity Risk Management” adlı düzenlemesi, Temmuz 2023’te yürürlüğe girmişti. Halka açık şirketler, bu kurala göre veri sızıntısı ya da hacklenme gibi siber olayları Form 8-K üzerinden hızlıca kamuoyuyla paylaşmak zorunda. Ancak bankacılık sektörü temsilcileri, bu kurala göre yapılan açıklamaların fidye saldırılarına zemin hazırladığını, şirketlerin sigorta ve hukuki risklerini artırdığını ve iç iletişimde tedirginliğe neden olduğunu ifade etti. Özellikle Form 8-K üzerindeki “Madde 1.05”in iptal edilmesi istendi.
Kripto şirketleri de etkilendi
Kural, kripto sektöründe faaliyet gösteren halka açık şirketleri de doğrudan etkiliyor. Coinbase destek ekibine yönelik bir sosyal mühendislik saldırısını kamuoyuna açıklamak zorunda kaldıktan sonra yedi farklı dava ile karşı karşıya kaldı. Şirket, 20 milyon dolarlık fidye talebini reddettiklerini açıklamıştı. Bu saldırının Coinbase’e maliyetinin 400 milyon doları bulabileceği belirtiliyor.
Eğer SEC, söz konusu düzenlemeyi iptal ederse, şirketler yaşadıkları siber saldırıları açıklamak için daha geniş bir zaman penceresine sahip olabilir.
