قانونگذاران مالی آمریکا، قانون جدیدی معرفی کردند که طبق آن، سازمانهای بانکی ملزم به گزارش هر حادثه امنیت سایبری مهم ظرف ۳۶ ساعت بعد از شناسایی آن هستند. آنها بر این باور هستند که اطلاعرسانی درباره حوادث سایبری باعث میشود تا بانکها و تنظیمکنندگان با همکاری یکدیگر به رفع مشکل بپردازند.
به گزارش گرداب - بر اساس این قانون، بانکها باید حوادثی را که باعث اخلال در ارائه خدمات و محصولات و انجام عملیات میشود یا تهدیدی برای ثبات بخش مالی آمریکا هستند را گزارش دهند. این حملات ممکن است مربوط به حملات دیداس (DDoS) در مقیاس بزرگ باشد که باعث عدم دسترسی مشتریان به خدمات بانکی میشود و یا سیستم مربوط به عملیات بانکی برای مدت زمان طولانی غیرفعال میگردد.
علاوه بر این، سازمانهای بانکی که این قانون به آن اشاره دارد و شامل بانکهای ملی، انجمن¬های فدرال و شعب فدرال بانکهای خارجی میشود، در صورتی که اختلال ایجاد شده چهار ساعت یا بیشتر طول بکشد باید در اسرع وقت به مشتریان خود اطلاعرسانی کنند.
شرکت بیمه سپرده فدرال، شورای حکام سیستم فدرال رزرو و دفتر کنترلکننده ارز، نسخه نهایی این قانون را تصویب کردهاند و از اول ماه آوریل ۲۰۲۲ اجرایی خواهد شد.
شرکت بیمه سپرده فدرال اعلام کرد که این قانون فقط برای آن دسته از نهادهایی که سه آژانس بانکی (شرکت بیمه سپرده فدرال، فدرال رزرو و یا دفتر کنترلکننده ارز)، آنها را بیمه کرده یا بر آنها نظارت دارند و یا سازمانهایی که خدماتی را به سازمانهای تحت نظارت ارائه میکنند، اعمال میشود.
قانونگذاران مالی، جزئیات این قانون را در ماه دسامبر ۲۰۲۰ معرفی کردند، اما با بازخورد منفی گروههای صنعتی روبرو شدند و به همین دلیل، مجبور به تغییر بعضی از بخشهای این قانون شدند.
برای مثال در نسخه اولیه قانون آمده بود که بانکها بهتر است تا هر حمله سایبری را گزارش دهند، اما بسیاری با این موضوع مخالفت کردند و گفتند که در این صورت، گزارشهای بسیار زیادی از طیف گستردهای از حملات ثبت خواهند شد. آنها بعدا این قانون پیشنهادی را کمی تغییر دادند و جزئیات دقیق و مشخصی را به آن اضافه کردند.
مؤسسه سیاست بانکی، یکی از گروههایی بود که درباره این قانون پیشنهادی اظهار نظر کرده بود. معاون ارشد فناوری و استراتژی ریسک این مؤسسه گفت که با اضافه شدن جدول زمانی و تعیین یک فرایند مشخص برای ثبت گزارش مربوط به حوادث خاص سایبری به نسخه پایانی قانون، موافق است.
او همچنین گفت که در نسخه پایانی، تفاوت بین اطلاعرسانی و ثبت گزارش کاملا واضح است. اطلاعرسانی درباره حوادث سایبری باعث میشود تا بانکها و تنظیمکنندگان با هم به رفع مشکل بپردازند به گونهای که تنظیمکنندگان از شرایط و پیامدهای گستردهای که این حادثه میتواند در سراسر سیستم مالی داشته باشد آگاه میشوند و بانکها برای پاسخگویی و بررسی این حادثه تلاش بیشتری خواهند کرد.
منبع:
TechCrunch
