Bankám v USA začne platit nová povinnost reportovat bezpečnostní incidenty

23. 11. 2021 – | Doba čtení: 2 min

Zdroj: elchinator na pixabay

Regulatorní orgány americkým bankám zavádí novou povinnost, která vyžaduje, aby banky do 36 hodin nahlásily významné porušení IT bezpečnosti. Vyhláška začne platit 1.května 2022. Jedná se sice o obecný boj s kyberbezpečností, ale pravděpodobně jde o jeden z dalších kroků v boji proti rozmáhajícím se ransomware a dalším hackerským útokům.

Podle nařízení musí banky informovat regulátora (Department of the Treasury, Federal Reserve System a také Federal Deposit Insurance Corporation) v nejkratším čase a nejpozději do 36 hodin o incidentech, které podstatně ovlivnily – nebo je „přiměřeně“ pravděpodobné, že významně ovlivní – životaschopnost jejich operací, jejich schopnost dodávat produkty a služby nebo stabilitu finančního sektoru.

A nejenom to, banky dokonce musí, co nejdříve informovat i zákazníky, pokud je incident po dobu čtyř nebo více hodin významně zasáhl nebo je pravděpodobné, že tyto uživatele významně zasáhne.

Vyhláška je velmi komplikovaná a právníci jednotlivých bank, oddělení IT provozu i IT bezpečnostní oddělení se musí vypořádat s řadou nejasností a nejednoznačným vyhodnocováním jednotlivých incidentů. Určovat závažnost a dopad bezpečnostních incidentů se tak jistě stane velmi kreativní záležitostí, navíc s potenciálně velmi vysokým dopadem na dobré jméno a důvěryhodnost jednotlivých bank. Dokonce se v dokumentu dá najít seznam příkladů, o jaká bezpečnostní porušení má jít. Ale jestli výsledek bude skutečně zvýšení bezpečnosti a transparentnosti a nebo naopak nesmyslné zahlcování koncových uživatelů novým typem notifikací, to zatím nikdo netuší.

Pojďme se na některá uvedená porušení bezpečnosti podívat:

  • Infrastrukturní útoky, které bankovní služby odstaví na déle než 4 hodiny (typicky třeba DDoS útok, který zahltí síťové prvky banky)
  • Rozsáhlé výpadky bankovních systémů poskytovatele bankovních služeb (tj. když banka používá software někoho jiného), kdy je doba obnovy je neznámá
  • Selhala aktualizace nebo změna systému, která má za následek rozsáhlé výpadky uživatelů či zaměstnanců banky
  • (Nepřátelské) hacknutí systému, které znemožní po delší dobu provádět bankovní operace
  • Malware v síti bankovní organizace, který ohrožuje fungování banky nebo banku nutí vypnout nějaké produkty či informační systémy
  • Ransomware útok, který zašifruje základní bankovní systém nebo zálohovaná data

Je otázka, jakým způsobem budou banky klienty informovat, protože to všechno se možná dá schovat za jednoduchou hlášku „o nedostupnosti, na jejímž odstranění se pracuje“.

A co vy, také byste chtěli dostávat zprávu, kdykoliv vaše banka zažívá bezpečnostní incident nebo nepovedený upgrade informačních systémů?

Zdroj: us-banks-ordered-to-report-cyber-incidents-within-36-hoursfederalreserve.gov

Další doporučené články

Je bitcoin lepší investice než NVIDIA?

Je bitcoin lepší investice než NVIDIA?

Bitcoin po několika měsících konečně vzlétl k novým rekordům a opět tak na sebe strhává obří pozornost. V Čechách se dokonce s oblibou říká, že...
18. 11. 2024 – Doba čtení: 3 min
BBVA školí manažery v oblasti generativní AI

BBVA školí manažery v oblasti generativní AI

Společnost BBVA vytváří školicí program, který má jejím vrcholovým manažerům poskytnout základy v oblasti využívání GenAI, aby se zvýšila jejich produktivita....
15. 11. 2024 – Doba čtení: 2 min

fintechcowboys

Bára, Julia, Martin a Richard. Jsme tým profesionálů, kteří prošli několika nadnárodními korporacemi. Milujeme finance, moderní technologie a sociální sítě.

Další články z redakce