به گزارش کارگروه بین الملل خبرگزاری سایبربان، انجمن بانکداران آمریکا (ABA) و سایر انجمنها اعلام کردند که این قانون، شرکتهایی را که قربانی حملات سایبری میشوند، در معرض خطر بیشتری قرار میدهد.
این قانون که در سال ۲۰۲۴ تصویب شد، شرکتها را ملزم میکند در عرض چهار روز کاری پس از تشخیص «اهمیت» یک حادثه سایبری، آن را بهصورت عمومی افشا کنند.
استثنا تنها در صورتی اعمال میشود که وزارت دادگستری آمریکا تشخیص دهد افشای آن حمله، تهدیدی برای امنیت ملی یا ایمنی عمومی ایجاد میکند.
در نامهای که این انجمنها به کمیسیون بورس و اوراق بهادار آمریکا (SEC) ارسال کردند، نگرانیهایی مطرح شد مبنی بر اینکه قانون، شرکتهای عمومی را وادار میکند تا حوادث سایبری را زودتر از موعد و پیش از رفع کامل آسیبپذیری، افشا کنند.
به گفتهی انجمن بانکداران آمریکا و سایر نهادها، چنین شرایطی ممکن است به مجرمان سایبری ابزاری برای باجگیری بیشتر بدهد؛ به طوری که دستکم یک گروه باجافزاری، قربانی خود را به کمیسیون بورس و اوراق بهادار آمریکا گزارش کرده است.
آنها همچنین معتقدند که این قانون منابع امنیت ملی و اجرای قانون را تحت فشار قرار میدهد، باعث ایجاد سردرگمی در بازار شده و ارتباطات بینالمللی را محدود میکند، چرا که کارمندان از ترس افزایش ریسکهای حقوقی و شکایت احتمالی، از گزارشدهی خودداری میکنند.
این انجمنها اضافه کردند که الزامات این قانون، ریسک، هزینه و پیچیدگی بیشتری را به شرکتهای ثبتشده در کمیسیون بورس و اوراق بهادار تحمیل میکند و با هدف این کمیسیون برای تسهیل تأمین سرمایه و ارائه اطلاعات سودمند برای تصمیمگیری مغایرت دارد.
به گفته آنها، شرکتها مجبور میشوند حادثه را افشا کنند، حتی زمانی که هنوز در حال بررسی و رفع آن هستند و هنوز اطلاعات یا راهکار نهایی در دست نیست.
در ادامهی این نامه آمده است که قانون مذکور کمکی به سرمایهگذاران نمیکند، چرا که افشای زودهنگام نه تنها به شرکت آسیب میزند، بلکه اطلاعات معنادار یا قابلاقدامی را نیز در اختیار بازار قرار نمیدهد.
این قانون باعث سردرگمی شده که آیا باید تحت بند 1.05، 8.01 یا اصلاً هیچکدام، اطلاعات را ثبت کرد.
اقدامات کمیسیون بورس و اوراق بهادار آمریکا برای روشنسازی نیز تاکنون موفق نبوده است.
