Lima perbaikan terhadap regulasi cyber yang diusulkan yang ingin dilihat oleh para bankir

Para bankir, kelompok industri pembayaran, dan banyak pemimpin industri jasa keuangan lainnya sebagian besar sepakat dengan perubahan yang mereka yakini harus dilakukan pada regulasi yang diusulkan yang akan memengaruhi cara perusahaan di seluruh industri melaporkan insiden keamanan siber.

Aturan yang diusulkan berasal dari Badan Keamanan Siber dan Infrastruktur, atau CISA, yang menerapkan Undang-Undang Pelaporan Insiden Siber untuk Infrastruktur Kritis tahun 2022, atau CIRCIA. Undang-undang tersebut mengatur bank, operator bendungan, operator jaringan listrik, dan perusahaan lain yang mengoperasikan infrastruktur penting negara tersebut.

Undang-undang tersebut mengharuskan perusahaan-perusahaan ini untuk melaporkan insiden keamanan siber yang substansial dalam waktu 72 jam setelah mengidentifikasi tingkat keparahan insiden tersebut, dan memberi mereka waktu 24 jam untuk melaporkan pembayaran ransomware. Undang-undang tersebut tidak menjelaskan secara rinci tentang implementasinya, sehingga CISA harus mengusulkan peraturan dan regulasi. Pada bulan April, lembaga tersebut melakukan hal itu.

CISA awalnya menetapkan batas waktu 3 Juni bagi publik untuk secara resmi mengomentari peraturan yang diusulkan. permintaan dari koalisi besar kelompok industri, yang dibuat pada hari yang sama saat peraturan tersebut secara resmi dipublikasikan di Federal Register, badan tersebut memperpanjang batas waktu selama 30 hari. Selama waktu tersebut, 298 komentar lainnya masuk.

Sebagai dilaporkan sebelumnyaempat kelompok perdagangan perbankan mengajukan surat bersama yang luas bulan ini yang meminta perubahan khusus pada peraturan yang diusulkan, terutama difokuskan pada penyempurnaan definisi “insiden keamanan siber yang substansial.”

Sebagai tambahan pernyataan bersama Dari empat kelompok perbankan, American Banker menganalisis 11 surat komentar, yang berasal dari entitas berikut:

• Bank CLS Internasionalsebuah perusahaan penyelesaian tunai multimata uang yang memproses instruksi pembayaran dengan nilai rata-rata $5 triliun per hari, dalam 17 mata uang.
• Bank Kredit Pertanian AgFirstsalah satu dari empat bank dalam Sistem Kredit Pertanian, dengan total aset $44,3 miliar.
• Bank Tabungan Negarabank terbesar dari empat bank dalam Sistem Kredit Pertanian, dengan total aset $190 miliar.
• Itu Dewan Kredit Pertanianjaringan lembaga pinjaman koperasi milik peminjam yang membentuk Sistem Kredit Pertanian, termasuk CoBank dan AgFirst.
• Bankir Komunitas Independen Amerikasebuah kelompok perdagangan yang mewakili lebih dari 1.200 bank komunitas.
• Perusahaan Pembayaran Clearing Houseyang memiliki dan mengoperasikan jaringan ACH.
• Itu Dewan Koordinasi Sektor Jasa Keuanganyang lebih dari 70 anggotanya termasuk organisasi perdagangan perbankan dan banyak bank terbesar di negara tersebut.
• Itu Institut Keuangan Internasionalsebuah kelompok beranggotakan 400 orang yang mencakup 80 negara yang mewakili industri jasa keuangan global.
• Itu Asosiasi Nasional Pengawas Serikat Kredit Negarayang mewakili serikat kredit dan 45 lembaga pemerintah negara bagian yang membuat piagam, mengatur, dan memeriksa serikat kredit yang diberi piagam negara.
• Itu Dewan Kepemimpinan Pembayaranyang terdiri dari American Express, Discover, FIS, Fiserv, Mastercard dan Visa.
• Itu Lembaga Perwalian dan Kliring Simpanansebuah perusahaan infrastruktur pasar keuangan yang memproses transaksi sekuritas triliunan dolar setiap hari.

Selain itu, American Banker juga menganalisis sebuah surat yang penandatangannya meliputi kelompok perdagangan jasa keuangan bersama kelompok perdagangan yang mewakili sektor komunikasi dan listrik. Surat dua halaman tersebut mendorong CISA untuk “membatasi cakupan dan meningkatkan ambang batas pelaporan insiden” dengan mengubah definisi “insiden siber yang substansial,” permintaan yang diajukan oleh sebagian besar komentator lainnya.

Berikut ini adalah poin-poin yang paling sering diajukan oleh para pemberi komentar di industri jasa keuangan:

Ambang batas yang lebih tinggi untuk pelaporan

Keluhan yang paling umum adalah bahwa definisi yang diusulkan untuk “insiden cyber substansial” terlalu luas dan akan menyebabkan bank, koperasi kredit, dan perusahaan pembayaran melaporkan kejadian berisiko rendah ke CISA yang tidak akan membenarkan biaya pelaporan.

Dalam suratnya, Independent Community Bankers of America mengatakan kriteria untuk apa yang dianggap sebagai insiden cyber substansial adalah “tidak jelas dan berpotensi terlalu luas.”

“Kriteria ini dapat mencakup berbagai masalah yang biasanya tidak kritis dan dapat menyebabkan insiden yang dilaporkan tidak memenuhi ambang batas yang dimaksudkan,” kata kelompok perdagangan tersebut.

Dewan Kepemimpinan Pembayaran mengartikulasikan sedikit variasi, meminta CISA untuk memprioritaskan kejadian berisiko tinggi daripada hanya berfokus pada semua insiden cyber pada entitas berisiko tinggi.

“Aturan yang diusulkan mengharuskan entitas berisiko tinggi untuk melaporkan semua insiden siber yang dapat menyebabkan inefisiensi,” kata Payments Leadership Council. “Karena semua industri rentan terhadap serangan siber, jika CISA memfokuskan sumber dayanya pada insiden kecil dari perusahaan-perusahaan terkemuka ini, CISA dapat mengabaikan insiden yang lebih besar dalam industri yang dianggap berisiko lebih rendah.”

Harmonisasi dengan regulasi yang ada

Komentar paling umum kedua meminta CISA memperkenalkan standar pelaporan yang selaras dengan definisi dan ambang batas yang konsisten untuk mengurangi risiko kepatuhan regulasi dan risiko keamanan siber.

Beberapa pemberi komentar, termasuk The Clearing House, juga meminta CISA berkoordinasi dengan lembaga federal lainnya untuk mengembangkan pengaturan berbagi informasi yang akan memungkinkan entitas untuk melaporkan informasi ke satu lokasi pusat dan mengandalkan pemerintah federal untuk berbagi antar lembaga federal sebagaimana mestinya.

“Standar yang diselaraskan akan memfasilitasi pelaporan insiden material yang lebih cepat ke lembaga federal yang relevan, yang pada akhirnya akan memperkuat keamanan nasional dan ekonomi,” kata The Clearing House.

Asosiasi Pengawas Serikat Kredit Negara Bagian Nasional mengajukan permintaan serupa tentang lembaga pengawas negara bagian dan teritorial. Komentar asosiasi tentang harmonisasi adalah satu dari hanya dua poin umpan balik tingkat tinggi yang ditawarkannya. Secara khusus, asosiasi meminta CISA bekerja untuk meminimalkan “beban pelaporan duplikasi” ke lembaga di luar tingkat federal.

“Kami ingin menekankan perlunya melibatkan badan pengawas negara bagian dan teritorial dalam setiap upaya harmonisasi yang dilakukan,” bunyi surat asosiasi tersebut. “Saat ini, ada persyaratan pelaporan terkait siber federal dan negara bagian yang berlaku dalam sektor jasa keuangan.”

Penerapan pada operasi nonkritis

Banyak komentator meminta agar persyaratan pelaporan yang diterapkan oleh CISA hanya berfokus pada insiden yang berdampak pada operasi penting entitas yang tercakup seperti bank, dan bukan pada semua operasi entitas. Para komentator berpendapat bahwa hal ini akan memastikan fokus pada perlindungan keamanan nasional dan infrastruktur penting.

Komentar-komentar ini cenderung tumpang tindih dengan permintaan untuk mengurangi ambang batas keseluruhan yang harus dipenuhi oleh sebuah insiden siber sebelum harus dilaporkan. Misalnya, Institute of International Finance meminta agar definisi insiden siber substansial dipersempit untuk hanya mencakup insiden yang memiliki “dampak substansial pada layanan atau proses penting.”

Akan tetapi, lembaga tersebut juga menetapkan bahwa entitas yang tercakup dalam peraturan pelaporan “harus dibatasi pada entitas yang menjalankan fungsi penting.” Lebih khusus lagi, aturan yang diusulkan menunjukkan bahwa definisi entitas yang tercakup akan berlaku pada tingkat grup atau perusahaan induk, yang dikritik oleh lembaga tersebut.

“Kami percaya bahwa CISA harus mempertimbangkan masing-masing entitas dalam suatu kelompok perusahaan secara terpisah dan menghindari penafsiran yang akan mengakibatkan definisi organisasi induk atau perusahaan induk sebagai entitas yang tercakup karena satu atau lebih anak perusahaan atau afiliasinya dianggap sebagai entitas yang tercakup,” tulis lembaga tersebut.

Keamanan dan penemuan data

Beberapa komentar menekankan pentingnya tindakan ketat untuk melindungi kerahasiaan dan integritas informasi yang dilaporkan, baik dari akses tidak sah tetapi juga terhadap permintaan yang dibuat melalui Undang-Undang Kebebasan Informasi, atau FOIA.

Komentar tersebut menyoroti perlunya jaminan seputar perlindungan data untuk menjaga kepercayaan dan kolaborasi antara industri dan pemerintah. Dewan Koordinasi Sektor Jasa Keuangan menyebutkan hal ini.

“Secara khusus, CISA harus menetapkan semua sistem lembaga yang memuat laporan CIRCIA sebagai Aset Bernilai Tinggi sesuai dengan panduan Kantor Manajemen dan Anggaran,” tulis dewan tersebut. “Penetapan semacam itu menawarkan cara yang lebih konsisten untuk melindungi informasi ini yang sepadan dengan lingkungan risikonya.”

Dewan Kredit Pertanian mengatakan bahwa, sementara aturan yang diusulkan mengecualikan laporan insiden dari pengungkapan berdasarkan FOIA, laporan tersebut tidak mendapatkan tingkat perlindungan yang sama seperti, misalnya, Laporan Aktivitas Mencurigakan, atau SAR.

“Jika sebuah lembaga sistem atau badan yang diatur lainnya diharuskan untuk menyerahkan laporan insiden siber kepada CISA, maka laporan dan informasi yang diberikan oleh badan pelapor tersebut harus menerima setidaknya tingkat perlindungan yang sama dengan yang diberikan berdasarkan undang-undang dan otoritas lain dan tidak kurang, terutama ketika laporan tersebut dibuat kepada badan selain regulator kehati-hatiannya,” kata dewan tersebut.

Melindungi laporan insiden pada tingkat yang sama dengan SAR “akan mendorong pelaporan yang cepat dan menyeluruh,” kata dewan, dan menghindari mengekspos entitas pelapor pada “risiko bahaya yang signifikan.”

Definisi yang lebih sempit dari “insiden keamanan siber yang substansial”

Banyak komentator mengeluh bahwa pedoman dan definisi yang diusulkan CISA tentang apa yang merupakan “insiden keamanan siber yang substansial” terlalu luas, yang tidak hanya menimbulkan masalah potensial berupa terlalu banyak pelaporan tetapi juga kurangnya kejelasan tentang insiden apa saja yang perlu dilaporkan oleh bank.

Beberapa komentator memberikan saran khusus tentang cara menyempurnakan definisi “insiden cyber substansial” untuk meminimalkan ambiguitas, tetapi tidak ada yang lebih luas daripada Depository Trust & Clearing Corporation, atau DTCC, yang mendedikasikan tujuh halaman untuk saran tentang cara memodifikasi definisi lima cabang yang diusulkan dari CISA.

Salah satu contoh masalah yang disoroti perusahaan itu adalah bahwa regulasi yang diusulkan menciptakan ekspektasi bahwa insiden cyber yang menyebabkan gangguan apa pun pada operasi bisnis akan dilaporkan, termasuk pelaporan insiden yang menyebabkan gangguan kecil, kata DTCC.

Ambang batas ini sangat rendah, menurut DTCC, sehingga bank bahkan harus melaporkan insiden cyber ke pihak ketiga yang penting (seperti vendor layanan cloud), bahkan jika insiden itu tidak secara langsung memengaruhi bank.

“DTCC merekomendasikan penyempurnaan tambahan, termasuk memastikan materialitas yang tepat disertakan dalam definisi insiden cyber substansial sehingga entitas yang tercakup dapat memahami secara pasti ruang lingkup kewajiban pelaporan mereka,” bunyi surat komentar tersebut.