Федеральные органы банковского надзора США утвердили новое правило, согласно которому банки должны уведомлять свои основные федеральные регулирующие органы о серьезных инцидентах, связанных с компьютерной безопасностью, в течение 36 часов.
Банки обязаны сообщать о крупных кибератаках только в том случае, если они повлияют или могут повлиять на их операции, способность предоставлять банковские продукты и услуги или стабильность финансового сектора США.
Поставщики банковских услуг также должны будут уведомить клиентов «как можно скорее», если кибератака существенно повлияла или, вероятно, затронет клиентов в течение четырех или более часов.
Примеры инцидентов, о которых необходимо сообщать в соответствии с новым правилом, включают крупномасштабные распределенные атаки типа «отказ в обслуживании», которые нарушают доступ учетной записи клиента к банковским услугам, или инциденты, связанные со взломом компьютеров, которые прекращают банковские операции на длительные периоды времени.
«Инциденты, связанные с компьютерной безопасностью, могут быть результатом разрушительного вредоносного ПО или вредоносного программного обеспечения (кибератаки), а также непреднамеренного отказа оборудования и программного обеспечения, ошибок персонала и других причин», — поясняется в окончательном правиле уведомления об инцидентах компьютерной безопасности ( PDF ).
«Кибератаки, нацеленные на отрасль финансовых услуг, в последние годы стали более частыми и серьезными. Эти кибератаки могут отрицательно повлиять на сети, данные и системы банковских организаций и, в конечном итоге, на их способность возобновить нормальную работу».
Соответствие требуется к маю 2022 г.
Окончательное правило, изданное Федеральной корпорацией по страхованию вкладов (FDIC), Советом управляющих Федеральной резервной системы (Совет) и Управлением финансового контролера (OCC), вступит в силу 1 апреля 2022 года. Соблюдение требований продлено до 1 мая 2022 года.
«FDIC предоставит подконтрольным учреждениям логистику для уведомления FDIC в начале 2022 года», — заявила Федеральная корпорация по страхованию вкладов (FDIC) в четверг.
Новое правило сообщения о кибератаках призвано повысить осведомленность органов банковского надзора о новых угрозах для банковских организаций и финансовой системы США в целом.
Это, в свою очередь, позволит федеральным органам банковского надзора отреагировать на эти растущие и накапливающиеся угрозы до того, как они станут системными.
«Окончательное правило направлено на то, чтобы позволить органам банковского надзора быть своевременно информированными о наиболее значительных кибератаках, избегая при этом излишне сложных или трудоемких обязательств по отчетности», — сказала председатель FDIC Елена МакВильямс.
«Таким образом, окончательное правило не требует оценки инцидента для выполнения требования об уведомлении».
В этом месяце законодатели США также представили новый закон (Закон о программах- вымогателях и финансовой стабильности), который направлен на установление «правил поведения» для финансовых учреждений США при ответе на атаки программ-вымогателей .
В случае подписания закона этот недавно внесенный закон потребует от финансовых организаций США, пострадавших от атак программ-вымогателей, уведомить директора сети по борьбе с финансовыми преступлениями Министерства финансов (FinCEN) с подробностями об атаке и связанными с этим требованиями выкупа.
Последнее обновление 05.01.2023
