SEC致上市公司：如果你被黑客入侵，我们需要在4天内知道

根据美国证券交易委员会(Securities And Exchange Commission)的新规，遭受重大黑客攻击的上市公司将需要在四个工作日内披露这一事件。

美国证交会今天以3比2的投票结果通过了新规则，在网络攻击变得司空见惯的情况下，这些规则旨在增强投资者的透明度。

美国证券交易委员会主席加里·詹斯勒在公告中表示：“目前，许多上市公司都向投资者提供网络安全信息披露。”

具体地说，公司将需要披露他们经历的“重大网络安全事件”，这意味着涉及大量资金或业务的黑客攻击。此外，他们需要在事件被认为是重大事件后的“四个工作日”报告黑客攻击。

四天是很短的时间，但SEC表示

唯一的例外是影响国家安全的电脑黑客攻击。SEC表示：“如果美国司法部长认定立即披露信息会对国家安全或公共安全构成重大风险，并将这一决定以书面形式通知欧盟委员会，那么披露可能会被推迟。”

如果发生这种情况，公司可以将入侵推迟到30或60天。因此，如果公司仍然需要时间修补为黑客提供便利的软件漏洞，理论上他们可以申请延期。

颁布的另一项主要规定涉及上市公司的整体网络安全立场。SEC要求公司描述他们为抵御网络威胁所做的努力，以及这些危险可能对他们的业务产生什么样的实质性影响。

尽管公司经常自愿报告网络安全事件，但SEC的规定承诺防止整个行业的公司潜在地掩盖不太知名的黑客攻击的信息。这些规定预计将在年底前生效。

网络安全公司TEnable的首席执行官阿米特·约兰表示，新规则应该会推动公司将IT安全视为一种“必备”，而不仅仅是一种奢侈品。“这是朝着提高透明度和问责制迈出的戏剧性一步，将极大地改善我们作为一个国家的网络安全准备，”他说。“在很多方面，SEC的规则将规范企业一开始就应该实施的措施：良好的网络卫生。”