它的发生超过三年半前。所以可能会旧的消息称,中国黑客闯入软饮料巨头可口可乐计算机系统和窃取机密文件有关努力以24亿美元收购中国汇源果汁集团。但现在它只是来光。
它的发生超过三年半前。所以可能会旧的消息称,中国黑客闯入软饮料巨头可口可乐计算机系统和窃取机密文件有关努力以24亿美元收购中国汇源果汁集团。
但是现在只是来光,通过一份报告在本周彭博商业周刊。这个故事说,联邦调查局联系可口可乐高管3月15日,2009年,黑客已经告诉他们在他们的系统为一个月。三天后试图收购汇源倒塌。
美国证券交易委员会(SEC)要求公司向股东报告任何“重大损失”的攻击,加上任何信息,“一个理性的投资者会考虑重要的投资决定。”
梅雷迪思,SEC公司财务部门的主任《商业周刊》:“我们认为合理的投资者可以保健,根据具体事实和情况。”
但是可口可乐从来没有违反其投资者披露。大多数公司没有。彭博社报道违反英国能源公司BG Group,切萨皮克能源和其他从未向投资者披露。
询问的时候,大多数公司官员或代表拒绝置评,或宣称他们在完全符合所有适用法律。
可口可乐发言人肯特兰德斯是典型的反应。“我们公开披露的文件当我们相信他们是适当的,依照联邦证券法的要求,”他说《商业周刊》。
缺乏透明度的一个原因可能是可口可乐没有发现违反本身。它从联邦调查局了通知。这是常见的。定期安全专家指出,许多公司都不知道他们已经被黑客入侵直到第三方告诉他们。
违反受害者也经常不知道是什么,把它和它是如何被使用的。所以,既然很难把一个值损失,他们认为这不是一个物质事件,因此不受证券交易委员会监管。
主任David c . Vladeck联邦贸易委员会(FTC)的消费者保护局提出这一点在最近的一次新闻发布会说,当主要的数据泄露的问题应该报道是“困难的。我们不一定有正确的答案。”
Stewart Baker Steptoe & Johnson LLP的合伙人和前助理国务卿政策在美国国土安全部,告知《商业周刊》,“所有模棱两可栈的甲板上反对披露。”
(见相关:EPA数据违反了令人担忧的趋势]
SEC没有回应质疑其规定需要更为明确。该机构在其网站上有一个页面,“披露准则”从其公司财务部门。
在这些准则是:
公司应披露的风险网络事件,“如果这些问题是最重要的因素,投机或风险投资公司。
如果一个公司被攻击,它需要“可能”,“讨论的具体攻击的发生及其已知和潜在的成本和其他后果……(包括)描述被盗的财产和攻击的影响操作的结果,流动性,财务状况和财务信息报告的攻击会导致不能代表未来的经营成果和财务状况。”
如果一个公司提高其网络安全支出,应该注意那些增加支出,“当前和潜在的股东。
但是所有的免责声明。“这不是一个规则,指导监管,或美国证券交易委员会的声明。”In other words, none of it is mandatory.
雅各布•奥尔科特好港口负责人咨询和前美国国会网络政策顾问指出,有规则的地方。“公司不披露材料违反违反长期证券法律,”他说。
他说公司股东诉讼风险也可能“未能保护敏感的商业信息或商业秘密。我认为过失情况下基于违反信托责任是最有可能。”
丹•伯杰IT安全公司的首席执行官和总裁Redspin,说,这个问题很复杂,但“这需要解决。”
他的解决办法:规定,要求迅速披露。“更糟的事情违反了公司所能做的就是过早披露信息不足,”他说。
“有时候他们会驱使……有组织的黑客组织使其公共第一,这立即让公司处于守势。几乎任何该公司表示此时看起来坏,因为他们试图从公关的角度强调积极的——“有一个违反但我们知道没有人受到伤害的,而投资者做最坏的打算,”该公司不知道或者是最小化问题,’”他说。
但是一旦有时间量化损失,投资大众有权知道,伯杰说。“关于美国证券交易委员会(SEC)要求披露材料损失,上市公司必须遵守,否则将面临调查或投资者诉讼。”
(SEC应该设置一些特定的基本规则,提供为内部评估和建立时间阈值的伤害,和相应的要求披露行为基于这些严重的水平,”伯格说。
部,由执法部门协助公司应该平衡,他补充说。“我们不应该忘记了公司犯罪的受害者。”
这个故事,“数据破坏股东蒙在鼓里”最初发表的方案 。