Οι ρυθμιστικές υπηρεσίες για τις ομοσπονδιακές τράπεζες των ΗΠΑ ενέκριναν έναν νέο κανόνα που δίνει εντολή στις τράπεζες να ειδοποιούν για σημαντικά περιστατικά ασφαλείας (κυβερνοεπιθέσεις) εντός 36 ωρών.
Δείτε επίσης: SharkBot: Το νέο Android banking trojan που στοχεύει τράπεζες στην Ευρώπη
Οι τράπεζες υποχρεούνται να αναφέρουν σημαντικές κυβερνοεπιθέσεις μόνο εάν έχουν επηρεαστεί ή ενδέχεται να επηρεαστούν οι δραστηριότητές τους, η ικανότητα παροχής τραπεζικών προϊόντων και υπηρεσιών ή η σταθερότητα του χρηματοπιστωτικού τομέα των ΗΠΑ.
Οι πάροχοι τραπεζικών υπηρεσιών θα πρέπει επίσης να ειδοποιούν τους πελάτες “το συντομότερο δυνατό” εάν μια κυβερνοεπίθεση έχει επηρεάσει ουσιωδώς ή ενδέχεται να επηρεάσει τους πελάτες για τέσσερις ή περισσότερες ώρες.
Παραδείγματα περιστατικών που πρέπει να αναφέρουν οι τράπεζες, περιλαμβάνουν: μεγάλες distributed denial of service επιθέσεις που εμποδίζουν την πρόσβαση σε τραπεζικές υπηρεσίες ή hacking περιστατικά που επηρεάζουν τραπεζικές λειτουργίες για μεγάλες χρονικές περιόδους.
Δείτε επίσης: Συνελήφθησαν 9 άτομα που παρίσταναν τους τραπεζικούς υπαλλήλους
“Τα περιστατικά ασφαλείας μπορεί να προκύψουν από κακόβουλα λογισμικά (κυβερνοεπιθέσεις), καθώς και από μη κακόβουλη αστοχία hardware και software, σφάλματα προσωπικού και άλλες αιτίες“, εξηγεί το Computer-Security Incident Notification Final Rule (PDF).
“Οι κυβερνοεπιθέσεις που στοχεύουν τον κλάδο των χρηματοπιστωτικών υπηρεσιών έχουν αυξηθεί σε συχνότητα και σοβαρότητα τα τελευταία χρόνια. Αυτές οι κυβερνοεπιθέσεις μπορούν να επηρεάσουν αρνητικά τα δίκτυα, τα δεδομένα και τα συστήματα των τραπεζικών οργανισμών και, τελικά, την ικανότητά τους να συνεχίσουν την κανονική τους λειτουργία“.
Οι τράπεζες πρέπει να αναφέρουν περιστατικά ασφαλείας από τον Μάιο του 2022
Ο τελικός νόμος που εκδόθηκε από το Federal Deposit Insurance Corporation (FDIC), το Board of Governors of the Federal Reserve System (Board) και το Office of the Comptroller of the Currency (OCC) θα τεθεί σε ισχύ την 1η Απριλίου 2022. Οι τράπεζες θα πρέπει να συμμορφωθούν και να αναφέρουν τις κυβερνοεπιθέσεις και άλλα περιστατικά ασφαλείας από την 1η Μαΐου 2022 και έπειτα.
Δείτε επίσης: Ransomware: Είναι μια μαύρη τρύπα που απορροφά και άλλες κυβερνοαπειλές
Ο νέος νόμος αναφοράς κυβερνοεπιθέσεων έχει σχεδιαστεί για να ενισχύσει την ευαισθητοποίηση των τραπεζικών εποπτικών αρχών σχετικά με τις αναδυόμενες απειλές κατά των τραπεζικών οργανισμών και του ευρύτερου χρηματοπιστωτικού συστήματος των ΗΠΑ.
Αυτό με τη σειρά του θα επιτρέψει στις ρυθμιστικές αρχές να αντιδράσουν σε αυτές τις επιθέσεις, πριν εξαπλωθούν περεταίρω.
Πηγή: Bleeping Computer
