La semana pasada, informamos sobre una violación de datos de Roblox que ocurrió por primera vez en 2020 y aparentemente se compartió en algunos lugares nefastos en 2021, pero solo se hizo ampliamente conocido cuando la filtración se publicó nuevamente el 18 de julio. Hubo una gran cantidad de información de identificación sobre las personas que asistieron a la Conferencia de Desarrolladores de Roblox en estos datos pirateados, y algunos pueden encontrar bastante sorprendente el tiempo transcurrido entre el hackeo y el reconocimiento de Roblox Corporation.
Las empresas de juegos no son las únicas en ser objetivos de los malos actores, ya que el ciberdelito ahora es una amenaza omnipresente en todos los sectores comerciales. Y no importa qué tan buenas sean las defensas, estaremos leyendo sobre hacks exitosos en objetivos de alto perfil por el resto de nuestras vidas. La Comisión de Bolsa y Valores de EE. UU. claramente piensa que sí y como se informó por el registro ha votado para adoptar nuevos requisitos, propuestos por primera vez en marzo de 2022, que cualquier empresa pública que sufra un delito informático que probablemente cause algún tipo de impacto «material» ahora tendrá un límite de cuatro días para divulgar el incidente. Un golpe material es básicamente cualquier cosa que deba preocupar a los inversores.
Dado que la gran mayoría de las grandes empresas de juegos en EE. UU. cotizan en bolsa, esto significa que la nueva regla (que entrará en vigor en 30 días) se aplicará a empresas como: Activision Blizzard, Electronic Arts, Microsoft, Nexon, Nintendo, Paradox Interactive, Riot Games, Roblox Corporation, Sony y Take-Two Interactive. Anidados dentro de ellos hay muchos otros estudios famosos como Blizzard, Bungie, Rockstar y Zynga.
Cualquier empresa que haya sufrido un incidente de seguridad cibernética que podría tener un impacto material ahora debe determinar si debe divulgarse «sin una demora razonable» y, si debe hacerlo, debe enviar de inmediato un informe del Formulario 8-K que ahora tiene una nueva sección de seguridad cibernética. . Esto hará que la empresa declare lo que cree que es la «naturaleza, el alcance y el momento» de la infracción y cuál cree que será el impacto en el negocio. La SEC hace públicos estos formularios 8-K.
Hay algunas exenciones que probablemente no se aplicarán a las empresas de juegos, como los riesgos para la seguridad nacional o la seguridad pública, y las reglas de divulgación vienen junto con un nuevo requisito de información, mediante el cual las empresas públicas deben describir sus procesos para identificar y gestionar las ciberamenazas. . Las empresas extranjeras que hacen negocios en los EE. UU. no estarán exentas y se están aplicando reglas similares a su conjunto de formularios (6-K y 20-F, fact fans).
El enfoque aquí está en los inversionistas más que en las personas pequeñas, pero el resultado debe ser un bien público. La definición exacta de la palabra «material» se volverá bastante importante y, por supuesto, hay una multitud de posibles delitos cibernéticos diferentes que esta regla cubrirá, pero el ejemplo de los datos de los clientes que se ven comprometidos se siente como algo que debe divulgarse como tan pronto como se sepa.
Afortunadamente, la SEC está de acuerdo, diciendo en las reglas que: «A modo de ilustración, el daño a la reputación de una empresa, las relaciones con los clientes o proveedores, o la competitividad pueden ser ejemplos de un impacto material en la empresa».
Las leyes estatales de EE. UU. ya exigen que las empresas notifiquen a los usuarios cuyos datos pueden haberse visto comprometidos, por lo que esta nueva regulación es adicional en lugar de completamente nueva, otra capa de cumplimiento que puede detectar infracciones no denunciadas. También puede esclarecer los detalles de las infracciones que no involucran los datos de los usuarios, como el hackeo de GTA 6 del año pasado, sobre el que las empresas suelen estar preocupadas. No todos son fanáticos de estas nuevas reglas, y algunos señalan que la publicidad puede ser lo último que desea después de un ataque potencialmente desastroso. Pero las nuevas reglas tienen exenciones incorporadas para tales eventualidades, y la divulgación pública rápida parece que vale la pena intentarlo.