美国证券交易委员会在 2023 年 7 月通过一项新的披露规则,要求上市公司披露他们经历的重大网络安全事件,并每年披露关于他们网络安全风险管理、战略和治理的重要信息。SEC还要求外国发行人作出可比披露。
SEC主席加里·根斯勒表示:“无论是公司在火灾中失去一座工厂,还是在网络安全事件中丢失数百万文件,这对投资者来说都可能是重要的。目前,许多上市公司向投资者提供网络安全披露。然而,我认为如果这些披露以更一致、可比和有助于决策的方式进行,公司和投资者都将受益。通过帮助确保公司披露重要的网络安全信息,今天的规则将惠及投资者、公司以及连接他们的市场。”
新规则要求上市公司在8-K表格的新条款1.05上披露他们确定为重要的任何网络安全事件,并描述事件性质、范围和时机的重要方面,以及对上市公司的重要影响或可能的重要影响。在确定网络安全事件为重要之后,需要在四个工作日内提交1.05条款的8-K表格,除非美国司法部长确定立即披露将对国家安全或公共安全构成重大风险,并以书面形式通知委员会。
新规则还增加了S-K规则第106条,要求上市公司描述他们评估、识别和管理网络安全威胁的重大风险的过程(如果有的话),以及网络安全威胁和以前的网络安全事件的重大影响或可能的重大影响。第106条还要求上市公司描述董事会对网络安全威胁风险的监督情况以及管理层在评估和管理网络安全威胁的重大风险方面的角色和专业知识。这些披露将被要求包含在上市公司的年度10-K表格报告中。
简单来说,从 2023 年 12 月15 日开始,在确定发生了网络安全事件(通常涉及违规、数据泄露和/或勒索软件尝试)后,上市公司必须在4天内通过8-K表格披露事件的重大影响;从12月18日起,公司在其年度例行10-K报告中必须描述他们确定安全风险和重大影响的内部流程,以及董事会如何监督这些流程。
在 SEC 更新后的 8-K 模板中,增加了 1.05章节重大网络安全事件,对披露内容做了详细要求,但也说明“上市公司无需披露有关其对事件的计划响应或其网络安全系统、相关网络和设备或潜在系统漏洞的具体信息或技术信息,以免妨碍对事件的响应或补救。”
在该规则正式生效前,已经有公司通过8-K 文件披露重大网络安全事件,比如两家博彩公司凯撒和美高梅,简要翻译凯撒的这篇披露如下
文件标题和基本信息
提交给美国证券交易委员会(SEC)的表格8-K。
报告日期:2023年9月7日。
凯撒娱乐公司,注册地:特拉华州,注册号:001-36629,纳税人识别号:46-3657681。
主要办公地址:内华达州雷诺市西自由街100号,12楼,邮编89501。
联系电话:(775) 328-0100。
第8.01条款:其他事件
凯撒娱乐公司近期在其信息技术网络中发现了可疑活动,源于对其外包的IT支持供应商的社会工程攻击。公司的面向客户的业务,包括实体属性及在线和移动游戏应用,未受此事件影响。
在发现可疑活动后,公司迅速启动了事件响应程序,采取了一系列措施来加强信息技术网络的安全,并启动了调查,聘请了顶尖的网络安全公司协助,并通知了执法机构和州游戏监管机构。
调查结果显示,2023年9月7日,未经授权的行为者获取了公司会员计划数据库的副本,该数据库包括大量成员的驾驶执照号码和/或社会安全号码。公司目前仍在调查未经授权行为者获取的文件中可能包含的其他个人或敏感信息。目前没有证据表明任何成员的密码/PIN、银行账户信息或支付卡信息(PCI)被获取。
公司已采取措施确保未经授权的行为者删除了被盗数据,尽管无法保证这一结果。公司正在监控网络,但尚未发现任何进一步分享、发布或滥用数据的证据。然而,出于谨慎考虑,公司向所有会员计划成员提供信用监控和身份盗窃保护服务。成员可以致电(888) 652-1580申请这些服务。
此外,公司将按照法律义务通知受此事件影响的个人。这些通知将在未来几周内逐步进行。与此同时,有关此事件的问题可以通过公司设立的专门事件响应热线(888) 652-1580进行咨询。
虽然没有公司能够完全消除网络攻击的风险,但公司相信已采取适当措施,与行业领先的第三方IT顾问合作,加强系统安全以防范未来事件。这些努力仍在进行中。公司还确保了涉及此事的特定外包IT支持供应商已实施纠正措施,以防范可能对系统构成威胁的未来攻击。
公司已经承担,并可能继续承担与此次攻击有关的特定费用,包括响应、补救和调查此事的费用。此事件的全部费用和相关影响的范围,包括这些费用在多大程度上将由公司的网络安全保险或针对第三方的潜在赔偿索赔抵消,尚未确定。虽然无法预测此事件对客户行为的未来影响,包括客户行为的变化是否会对公司的财务状况和运营结果产生持续的负面影响,但公司目前不认为此事件会对公司的财务状况和运营结果产生重大影响。
客户和成员的信任对公司至关重要,公司对此事可能引起的任何担忧或不便表示遗憾。
前瞻性声明
本报告包含了《1933年证券法》第27A条和《1934年证券交易法》第21E条规定的“前瞻性声明”。本报告中使用的“预期”、“相信”、“计划”、“打算”、“预期”、“可能”、“估计”、“应该”、“将可能继续”以及类似表达的术语和短语旨在识别前瞻性声明。这些陈述的示例包括但不限于未经授权的行为者访问和复制的数据范围;我们为防止客户数据泄露和未来网络安全事件而采取的措施的有效性;以及网络安全事件对客户和公司业务、财务状况和运营结果的影响。我们可能会发现目前尚未知晓的事实,这可能导致我们重新评估这些事项。实际结果可能与这些表达或暗示的结果有实质性差异,包括:对网络安全事件的持续评估和我们能否完全评估和补救此事件的能力;网络安全事件对客户的影响以及我们与现有客户和未来客户的关系;由于网络安全事件或其他网络安全事件而产生的法律、声誉和财务风险;我们在网络安全保险政策下的赔偿能力以及对第三方的索赔权;我们以及我们的外包供应商实施的纠正措施是否足以防范未来网络安全事件;以及可能因网络安全事件对公司提起的诉讼或监管程序;以及公司年度报告Form 10-K中所述的其他因素。
这些前瞻性声明仅代表报告日期的情况,即使在我们网站上或其他方式提供,我们也不承担更新任何前瞻性声明的义务,以反映新信息或未来事件或发展,除非法律要求。
签名
根据《1934年证券交易法》的要求,登记人已正式授权在其名下签署此报告。
日期:2023年9月14日。凯撒娱乐公司,由Edmund Quatmann, Jr.(首席法律官,执行副总裁兼秘书)代表签署。
另一家博彩公司美高梅就没有这么幸运了,在其披露中,美高梅承认泄露了大量的个人隐私数据PII。
“具体而言,该公司预计 9 月份的网络安全问题将对拉斯维加斯大道度假村和区域运营的调整后财产EBITDAR 产生约 1 亿美元的负面影响…该公司第三季度还产生了不到 1000 万美元的与网络安全问题相关的一次性费用,其中包括技术咨询服务、法律费用和其他第三方顾问的费用。”
如果这1.1亿美元投入到网络安全建设中,足以覆盖十余年的相关费用。
总结
美国证券交易委员会(SEC)对于上市公司(包含在美国上市的中概股)在重大网络安全事件上的强制性披露要求,无疑将对网络安全行业带来显著的推动效应。根据SEC的新规定,即便公司未遭遇重大网络安全事件,它们也必须在年度的10-K报告中详细说明公司识别安全风险和评估重大影响的内部流程,以及董事会对这些流程的监督机制。这一规定不仅明确了网络安全是董事会和管理层的重要职责,还将有效改变企业高层在网络安全领域的风险偏好。网络安全已然成为上市公司运营的关键基础设施,我们期待中国证监会能够在这方面做出相应的政策跟进。
参考材料:
https://hhhypergrowth.com/breaches-and-the-sec/
https://www.sec.gov/news/press-release/2023-139
https://www.sec.gov/files/form8-k.pdf
https://www.sec.gov/Archives/edgar/data/1590895/000119312523235015/d537840d8k.htm
https://www.sec.gov/Archives/edgar/data/1590895/000119312523235015/d537840d8k.htm
https://www.sec.gov/ix?doc=/Archives/edgar/data/789570/000119312523251667/d461062d8k.htm
https://www.sec.gov/files/rules/final/2023/33-11216.pdf
https://www.crowdstrike.com/blog/new-2023-sec-breach-disclosure-rules/
https://www.zscaler.com/blogs/security-research/impact-sec-s-new-cybersecurity-policies
https://www.paloaltonetworks.com/blog/2023/08/sec-rule-cybersecurity-operations/