SEC: bisogna rendere pubblici i cyber attacchi

Nel corso del 2011 gli attacchi informatici sono cresciuti esponenzialmente e le grosse aziende hanno subito importanti danni a livello economico. Spesso, però, si evita di rendere pubblici i cyber attacchi subiti così da non preoccupare gli investitori, e la SEC è intervenuta a tal riguardo chiedendo interventi più chiari sulle segnalazioni degli stessi.

Attraverso una serie di linee guida emanate nelle scorse ore, la Securities and Exchange Commission degli Stati Uniti espone esempi di atti informatici non autorizzati che le aziende dovrebbero rivelare. La guida arriva dopo che il senatore John Rockefeller aveva esplicitamente chiesto alla SEC di rilasciare una documentazione precisa per invitare le società a non omettere di segnalare violazioni di dati nei documenti pubblici, dopo che proprietà intellettuali del valore di miliardi di dollari erano state rubate dai criminali informatici e gli investitori sono stati tenuti completamente all’oscuro. Con tale guida si cerca pertanto di dare una svolta alla situazione: tutto dovrà essere più chiaro, più trasparente poiché consentirà al mercato di valutare le società anche in base alla loro capacità di mantenere sicure le proprie reti. Si chiede un mercato più sicuro, consapevole e con consumatori sempre informati su ciò che accade.

La SEC indica pertanto alle imprese di segnalare qualsiasi attacco informatico di una certa importanza e di divulgare le iniziative prese per porre rimedio ad eventuali problemi. Non richiederà tuttavia di descrivere il sistema di sicurezza adottato poiché potrebbe agevolare la vita ad hacker e cracker, ma si dovranno comunicare intrusioni o furti di dati che potrebbero influenzare le decisioni degli investitori. Ad esempio, se un malware si infiltra nella rete di computer di un’azienda, la stessa potrebbe avere bisogno di discutere i potenziali costi e le altre conseguenze derivanti dalle azioni del software malevolo. Le aziende dovranno essere trasparenti sui rischi che corrono dopo un cyber attacco, soprattutto se di significativa importanza tanto che potrebbe rendere un investimento nella società speculativo o rischioso.

Se pertanto in precedenza le società quotate in borsa non avevano l’obbligo di segnalare pubblicamente intrusioni alle proprie reti informatiche, a partire dal prossimo anno la situazione cambierà nettamente: si tratta di un cambiamento di fondamentale importanza, poiché renderà tutto più trasparente a favore di un mercato consapevole. Google è stata finora una delle poche aziende pubbliche ad aver rivelato violazioni anche considerate di minore importanza – come quella avvenuta nello scorso giugno in Cina, quando un team di cracker aveva cercato di rubare centinaia di password Gmail appartenenti a giornalisti, attivisti e alti funzionari del Governo statunitense – ma la maggior parte delle società pubbliche scelgono di tacere per proteggere la loro reputazione. Secondo un rapporto pubblicato da McAfee e dalla Science Applications International Corporations, solo tre aziende su dieci riportano tutte le violazioni dei dati. Ma se oggi ci si può nascondere dietro un velo, nei prossimi mesi vi sarà l’obbligo di mettere tutto sulla pubblica piazza.