Wcześniej było głośno m.in. o kradzieży danych klientów sieci handlowej Target. Amerykańskie spółki giełdowe zazwyczaj nie ukrywają informacji, że doszło do włamania do ich systemów IT. Dlaczego? Odpowiedź jest banalnie prosta. Wychodzą bowiem z założenia, że jest to istotna informacja, która może mieć istotny wpływ na kurs akcji. Że jest to słuszna interpretacja przepisów, dobitnie pokazuje zachowanie kursów akcji firm, które padły ofiarami włamań. Po ujawnieniu informacji o kradzieży danych taniały akcje i Target i eBay.

Ale nie wszystkie firmy informują, że były ofiarami ataków cyberprzestępców. Gdy w ubiegłym tygodniu Departament Sprawiedliwości ujawnił, że chińscy hakerzy zaatakowali amerykańskie firmy i wykradli dane, okazało się, że spółki będące celem tych ataków nie przesłały odpowiednich komunikatów do Securities and Exchange Commission. Uznały bowiem, że nie było to istotne dla cen akcji zdarzenie.

SEC w stanowisku z października 2011 roku wskazywał spółkom, że skutecznie przeprowadzony cyberatak, w wyniku którego hakerzy przejęli informacje związane czy to ze spółką, czy to z jej klientami, może być informacją, którą powinny przekazać inwestorom. Jednak zdaniem prawników zalecenia SEC pozostawiają pole do interpretacji i powinny być doprecyzowane. Moim zdaniem lepsze są nawet pozostawiające pole do interpretacji  wskazówki niż ich brak.

W Polsce głos w sprawie włamań do systemów IT i wycieku danych firmy zabierają, dopiero gdy media wywołają je do tablicy. Nie przypominam sobie, bym spotkał się z raportem bieżącym z taką informacją. Czy niewielka liczba informacji o utracie danych przez polskie firmy oznacza, że mają one lepiej zabezpieczone serwery? Być może tak. Ale możliwe są inne odpowiedzi. Firmy mogą nie wiedzieć, że ich systemy IT są spenetrowane. Z amerykańskich badań wynika, że 62 proc. włamań wykrywanych jest po wielu miesiącach. Firmy mogą wreszcie milczeć, bo wizyta nieproszonych gości w systemie IT nie jest pozytywną informacją. Być może nie chwalą się, bo ich zdaniem nie mają ustawowego obowiązku.