Il ransomware CDK Global ha rivelato incertezze negli standard di segnalazione SEC, evidenziando discrepanze tra impatti percepiti e materiali.
La recente violazione ransomware ai danni del fornitore di software automobilistico CDK Global ha scatenato discussioni sulle norme di segnalazione della Securities and Exchange Commission (SEC). Mentre numerosi concessionari automobilistici hanno ritenuto necessario notificare alla SEC l’impatto negativo sulle loro operazioni, la società madre di CDK, Brookfield Business Partners, ha adottato una posizione opposta, dichiarando che l’incidente non avrebbe avuto un impatto significativo sulle proprie attività.Questa divergenza di vedute tra la società vittima e i suoi destinatari indiretti pone in luce l’ambiguità degli standard della SEC relativi alla segnalazione di incidenti cyber. La questione centrale riguarda la definizione di “materialità,” cioè il criterio che le aziende devono considerare per decidere se un attacco deve essere segnalato, un concetto che dipende dall’interpretazione di ciò che un “investitore ragionevole” desidererebbe sapere.Bob Kolasky, ex dirigente della Cybersecurity and Infrastructure Security Agency, ha osservato che “ciò che è materiale per una entità potrebbe non esserlo per un’altra.” Tuttavia, ha anche sostenuto che, nel caso dell’attacco a CDK, un investitore ragionevole vorrebbe sicuramente essere informato date le attenzioni ricevute e le conseguenze a lungo termine. Allan Liska, analista di threat intelligence presso Recorded Future, ha espresso seria perplessità sull’opinione di Brookfield, definendo l’idea che l’attacco non abbia un impatto materiale come “assurda,” date le perturbazioni causate.Nonostante queste opinioni, per aziende dominanti come Brookfield, un pagamento di 25 milioni di dollari – la somma di riscatto riferita – potrebbe essere considerato trascurabile rispetto alle loro enormi operazioni. Questa valutazione è stata riflessa nelle dichiarazioni di alcuni concessionari, come Lithia Motors e AutoNation, i quali non hanno ancora determinato se l’incidente abbia un impatto materiale significativo.Brian Finch, avvocato e partner di Pillsbury Public Policy, ha sottolineato che la distinzione fondamentale nel determinare la materialità è se l’azienda è quotata in borsa o privata. Nel caso di CDK, essendo questa una società privata, non è direttamente soggetta alle normative SEC, ma lo è la sua società madre quotata. Nel 2023, Brookfield Business Partners ha gestito quasi 16 miliardi di dollari in attivi e la Brookfield Corporation ha riportato ricavi di quasi 96 miliardi di dollari, come indicato nei loro rapporti annuali.Gli esperti concordano che le attuali regole sono così recenti che potrebbero essere necessarie azioni della SEC e precedenti giuridici per chiarire i confini esatti della materialità in relazione alla segnalazione di incidenti cyber. Nel frattempo, incidenti come il ransomware CDK Global mostrano un evidente divario interpretativo tra esperti di cybersecurity e i legali delle aziende riguardo alle linee guida della SEC.