证券交易委员会阻碍国家安全 - 《华尔街日报》

美国证券交易委员会似乎忽略了一个打击犯罪的关键原则：调查人员在案件侦破前不会公布所有细节，因为这会增加抓捕罪犯的难度。这一原则同样适用于网络安全领域——既不能让黑客察觉已被追踪，也不该向其他恶意行为者暴露企业漏洞。然而SEC新规要求企业在发现网络安全事件后四天内公开披露，即使黑客攻击仍在调查中且漏洞尚未修复。

实际处理过网络安全事件的人都知道，四天内根本不可能完成修复。这些报告要求将使被攻击企业的网络安全漏洞暴露在聚光灯下，在漏洞修复前让企业面临遭受连续攻击的更高风险。

这还伴随着国家安全风险，因为国家行为体经常参与或协助针对企业的网络攻击。SEC新规会通过提前预警帮助这些国家掩盖痕迹，同时通过揭示哪些企业存在漏洞及具体弱点，使其更容易锁定攻击目标。

SEC新规旨在向投资者通报网络攻击，这个初衷值得肯定。投资者理应了解企业的网络安全风险，共享攻击信息也有助于其他企业优化自身防御。事件报告固然重要，但应允许企业在公开披露前完成事件处置。

其他监管机构正竞相要求企业更快报告问题，这可能导致"向谁报告"和"何时报告"的混乱。继欧盟要求三天内报告后，美国国会已责成国土安全部制定同样要求三天内报告的规定（勒索软件支付除外，需24小时内报告）。纽约州金融服务局也要求三天内报告，而货币监理署、美联储理事会和联邦存款保险公司要求银行机构在确认事件发生后36小时内报告。印度则完全取消时间限制，要求立即向政府报告。

与美国证券交易委员会（SEC）的规定不同，这些规则大多允许公司对事件进行调查和补救。但如果美国各机构能共同制定统一的规则，让企业在报告前有合理的缓冲期，情况会更好。若能明确需要报告的信息内容及时间节点，将极大简化报告标准。

关键在于平衡国家安全与其他关切，包括投资者的知情权。这种平衡是可以实现的，但需要各机构超越自身狭隘的优先事项，将包括国家安全在内的公共利益置于首位。

施瓦茨先生于2013-2015年担任总统网络安全政策特别助理，现协调网络安全联盟工作。

图片来源：盖蒂图片社/iStockphoto刊载于2022年9月30日印刷版，标题为《SEC阻碍国家安全》