مهلت ۳۶ ساعته برای گزارش حوادث مهم امنیت سایبری

مهلت ۳۶ ساعته برای گزارش حوادث مهم امنیت سایبری
تاریخ انتشار : ۰۱ آذر ۱۴۰۰

قانون‌گذاران مالی آمریکا، قانون جدیدی معرفی کردند که طبق آن، سازمان‌های بانکی ملزم به گزارش هر حادثه امنیت سایبری مهم ظرف ۳۶ ساعت بعد از شناسایی آن هستند. آن‌ها بر این باور هستند که اطلاع‌رسانی درباره حوادث سایبری باعث می‌شود تا بانک‌ها و تنظیم‌کنندگان با همکاری یک‌دیگر به رفع مشکل بپردازند.

به گزارش گرداب - بر اساس این قانون، بانک‌ها باید حوادثی را که باعث اخلال در ارائه خدمات و محصولات و انجام عملیات می‌شود یا تهدیدی برای ثبات بخش مالی آمریکا هستند را گزارش دهند. این حملات ممکن است مربوط به حملات دیداس (DDoS) در مقیاس بزرگ باشد که باعث عدم دسترسی مشتریان به خدمات بانکی می‌شود و یا سیستم مربوط به عملیات بانکی برای مدت زمان طولانی غیرفعال می‌گردد.

علاوه بر این، سازمان‌های بانکی که این قانون به آن اشاره دارد و شامل بانک‌های ملی، انجمن¬های فدرال و شعب فدرال بانک‌های خارجی می‌شود، در صورتی که اختلال ایجاد شده چهار ساعت یا بیش‌تر طول بکشد باید در اسرع وقت به مشتریان خود اطلاع‌رسانی کنند.

شرکت بیمه سپرده فدرال، شورای حکام سیستم فدرال رزرو و دفتر کنترل‌کننده ارز، نسخه نهایی این قانون را تصویب کرده‌اند و از اول ماه آوریل ۲۰۲۲ اجرایی خواهد شد.

شرکت بیمه سپرده فدرال اعلام کرد که این قانون فقط برای آن دسته از نهاد‌هایی که سه آژانس بانکی (شرکت بیمه سپرده فدرال، فدرال رزرو و یا دفتر کنترل‌کننده ارز)، آن‌ها را بیمه کرده یا بر آن‌ها نظارت دارند و یا سازمان‌هایی که خدماتی را به سازمان‌های تحت نظارت ارائه می‌کنند، اعمال می‌شود.

مهلت ۳۶ ساعته برای گزارش حوادث مهم امنیت سایبری

قانون‌گذاران مالی، جزئیات این قانون را در ماه دسامبر ۲۰۲۰ معرفی کردند، اما با بازخورد منفی گروه‌های صنعتی روبرو شدند و به همین دلیل، مجبور به تغییر بعضی از بخش‌های این قانون شدند.

برای مثال در نسخه اولیه قانون آمده بود که بانک‌ها بهتر است تا هر حمله سایبری را گزارش دهند، اما بسیاری با این موضوع مخالفت کردند و گفتند که در این صورت، گزارش‌های بسیار زیادی از طیف گسترده‌ای از حملات ثبت خواهند شد. آن‌ها بعدا این قانون پیشنهادی را کمی تغییر دادند و جزئیات دقیق و مشخصی را به آن اضافه کردند.

مؤسسه سیاست بانکی، یکی از گروه‌هایی بود که درباره این قانون پیشنهادی اظهار نظر کرده بود. معاون ارشد فناوری و استراتژی ریسک این مؤسسه گفت که با اضافه شدن جدول زمانی و تعیین یک فرایند مشخص برای ثبت گزارش مربوط به حوادث خاص سایبری به نسخه پایانی قانون، موافق است.

او هم‌چنین گفت که در نسخه پایانی، تفاوت بین اطلاع‌رسانی و ثبت گزارش کاملا واضح است. اطلاع‌رسانی درباره حوادث سایبری باعث می‌شود تا بانک‌ها و تنظیم‌کنندگان با هم به رفع مشکل بپردازند به گونه‌ای که تنظیم‌کنندگان از شرایط و پیامد‌های گسترده‌ای که این حادثه می‌تواند در سراسر سیستم مالی داشته باشد آگاه می‌شوند و بانک‌ها برای پاسخگویی و بررسی این حادثه تلاش بیش‌تری خواهند کرد.

منبع:
TechCrunch