Bankám v USA začne platit nová povinnost reportovat bezpečnostní incidenty

Regulatorní orgány americkým bankám zavádí novou povinnost, která vyžaduje, aby banky do 36 hodin nahlásily významné porušení IT bezpečnosti. Vyhláška začne platit 1.května 2022. Jedná se sice o obecný boj s kyberbezpečností, ale pravděpodobně jde o jeden z dalších kroků v boji proti rozmáhajícím se ransomware a dalším hackerským útokům.

Podle nařízení musí banky informovat regulátora (Department of the Treasury, Federal Reserve System a také Federal Deposit Insurance Corporation) v nejkratším čase a nejpozději do 36 hodin o incidentech, které podstatně ovlivnily – nebo je „přiměřeně“ pravděpodobné, že významně ovlivní – životaschopnost jejich operací, jejich schopnost dodávat produkty a služby nebo stabilitu finančního sektoru.

A nejenom to, banky dokonce musí, co nejdříve informovat i zákazníky, pokud je incident po dobu čtyř nebo více hodin významně zasáhl nebo je pravděpodobné, že tyto uživatele významně zasáhne.

Vyhláška je velmi komplikovaná a právníci jednotlivých bank, oddělení IT provozu i IT bezpečnostní oddělení se musí vypořádat s řadou nejasností a nejednoznačným vyhodnocováním jednotlivých incidentů. Určovat závažnost a dopad bezpečnostních incidentů se tak jistě stane velmi kreativní záležitostí, navíc s potenciálně velmi vysokým dopadem na dobré jméno a důvěryhodnost jednotlivých bank. Dokonce se v dokumentu dá najít seznam příkladů, o jaká bezpečnostní porušení má jít. Ale jestli výsledek bude skutečně zvýšení bezpečnosti a transparentnosti a nebo naopak nesmyslné zahlcování koncových uživatelů novým typem notifikací, to zatím nikdo netuší.

Pojďme se na některá uvedená porušení bezpečnosti podívat:

• Infrastrukturní útoky, které bankovní služby odstaví na déle než 4 hodiny (typicky třeba DDoS útok, který zahltí síťové prvky banky)
• Rozsáhlé výpadky bankovních systémů poskytovatele bankovních služeb (tj. když banka používá software někoho jiného), kdy je doba obnovy je neznámá
• Selhala aktualizace nebo změna systému, která má za následek rozsáhlé výpadky uživatelů či zaměstnanců banky
• (Nepřátelské) hacknutí systému, které znemožní po delší dobu provádět bankovní operace
• Malware v síti bankovní organizace, který ohrožuje fungování banky nebo banku nutí vypnout nějaké produkty či informační systémy
• Ransomware útok, který zašifruje základní bankovní systém nebo zálohovaná data

Je otázka, jakým způsobem budou banky klienty informovat, protože to všechno se možná dá schovat za jednoduchou hlášku „o nedostupnosti, na jejímž odstranění se pracuje“.

A co vy, také byste chtěli dostávat zprávu, kdykoliv vaše banka zažívá bezpečnostní incident nebo nepovedený upgrade informačních systémů?

Zdroj: us-banks-ordered-to-report-cyber-incidents-within-36-hours a federalreserve.gov