Los reguladores financieros de EE. UU. Aprobaron una nueva regla que requiere que las organizaciones bancarias informen cualquier incidente de ciberseguridad “significativo” dentro de las 36 horas posteriores al descubrimiento.

Según esta regla, los bancos deben notificar a su principal regulador federal sobre los incidentes que tienen, o es razonablemente probable que afecten materialmente, la viabilidad de sus operaciones, su capacidad para proporcionar productos y servicios o la estabilidad del mercado.Sector financiero estadounidense. Esto podría incluir ataques de denegación de servicio distribuido (DDoS) a gran escala que interrumpen el acceso de los clientes a los servicios bancarios o incidentes de piratería que inhabilitan la banca durante largos períodos de tiempo.

Además, los bancos, que la regla define como “organizaciones bancarias”, incluidos los bancos nacionales, las asociaciones federales y las sucursales federales de bancos extranjeros, deben notificar a los clientes “lo antes posible” si el incidente ha afectado o podría afectar materialmente a sus clientes durante cuatro horas o más.

“Los incidentes de seguridad informática pueden resultar de malware destructivo o software malicioso (ataques cibernéticos), así como fallas de hardware y software no maliciosas, errores de personal y otras causas”, explica el incidente de seguridad informática de notificación de la regla final. “Los ataques cibernéticos dirigidos a la industria de servicios financieros han aumentado en frecuencia y gravedad en los últimos años. Estos ciberataques pueden afectar negativamente las redes, los datos y los sistemas de las organizaciones bancarias y, en última instancia, su capacidad para reanudar las operaciones normales.

LEER  La batalla por el reconocimiento de voz dentro de los vehículos se intensifica - TechCrunch

La regla final, aprobada por la Corporación Federal de Seguros de Depósitos (FDIC), la Junta de Gobernadores (Consejo) del Sistema de la Reserva Federal y la Oficina del Contralor de la Moneda (OCC), entrará en vigencia el 1 de abril de 2022, con total de cumplimiento esperado para el 1 de mayo de 2022.

La FDIC dijo a TechCrunch en un comunicado que las reglas “solo se aplicarían a entidades aseguradas o reguladas por las tres sucursales bancarias (FDIC, Reserva Federal u Oficina del Contralor de la Moneda) u organizaciones que brindan servicios a un organismo regulado”. Banco.”

Los reguladores financieros propusieron por primera vez el requisito de notificación en diciembre, pero después de recibir comentarios negativos de grupos de la industria, se vieron obligados a cambiar partes de la regla final. La versión original, por ejemplo, decía que los bancos deberían informar los incidentes si “creen de buena fe” que han sufrido un incidente cibernético importante, pero la industria advirtió que esto podría dar lugar a una notificación excesiva de una amplia gama de casos. .incidentes, y se cambió la regla.

“Después de revisar cuidadosamente los comentarios, las agencias están reemplazando el estándar de ‘creencia de buena fe’ con la determinación de una organización bancaria”, dice el resumen final del acuerdo. “Las agencias están de acuerdo con los comentaristas que criticaron el estándar propuesto” de buena fe “por ser demasiado subjetivo e impreciso”.

El Bank Policy Institute, uno de los grupos de la industria que comentó sobre el acuerdo, dijo en un comunicado que apoya la regla final.

LEER  La fundadora e inversora Melissa Bradley sobre cómo concretar su reunión de presentación virtual - TechCrunch

“BPI reconoce el valor de la notificación oportuna y apoya la Regla Final, que establece un cronograma claro y un proceso flexible para notificar a los reguladores y a las partes afectadas cuando ocurre un incidente significativo”, dijo Heather Hogsett, vicepresidenta sénior de BPI a cargo de tecnología y estrategia de riesgo. “La regla también mantiene una clara distinción entre notificación y reporte. Los informes de incidentes cibernéticos fomentan la colaboración temprana entre los reguladores y los bancos para que los reguladores estén al tanto de las circunstancias que pueden tener implicaciones más amplias en todo el sistema financiero a medida que los bancos se esfuerzan por responder e investigar el incidente.

Actualizado con comentarios de la FDIC.

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )