Departemen Keuangan dan kelompok perbankan bersatu untuk melawan serangan siber

Pemerintah federal berupaya membantu bank melindungi diri dari serangan siber. Sejauh ini, bank sangat menginginkan bantuan tersebut.

Saat Departemen Keuangan meluncurkan inisiatif keamanan siber Project Fortress, yang sudah menjadi kemitraan publik-swasta terbesar yang pernah dibuat, berbagai upaya masih dilakukan untuk melibatkan lembaga keuangan, tetapi tinjauan awal menunjukkan hasil yang positif dengan suara bulat.

Di antara mereka yang bersemangat untuk mempromosikan proyek ini, yang mencakup dua layanan keamanan siber gratis yang tersedia untuk semua bank AS, adalah American Bankers Association (ABA), yang pada awal Juni menjadi tuan rumah webinar gratis dengan Todd Conklin, yang memimpin portofolio cyber Departemen Keuangan di bawah Wakil Menteri Wally Adeyemo.

Paul Benda, wakil presiden eksekutif bidang risiko, penipuan, dan keamanan siber di ABA, juga berbicara selama webinar tersebut. Dalam sebuah wawancara minggu ini, Benda memuji proyek tersebut, dan mengatakan bahwa ia terkesan dengan upaya Departemen Keuangan untuk menyediakan perangkat pertahanan tidak hanya bagi bank-bank besar, tetapi juga bagi bank-bank kecil.

“Saya pikir ini adalah hal yang sangat hebat yang telah dilakukan oleh Departemen Keuangan di sini,” kata Benda tentang Project Fortress. “Kami sangat senang dengan kemitraan dan arah yang mereka tuju.”

Salah satu dari dua alat pertahanan yang menjadi bagian dari proyek ini adalah Layanan Kebersihan Siber (CyHy) ditawarkan oleh Badan Infrastruktur dan Keamanan Siber, badan koordinasi utama negara untuk keamanan siber. Layanan ini gratis untuk semua organisasi infrastruktur penting, termasuk bank dan koperasi kredit.

Layanan ini secara otomatis memindai perusahaan yang berpartisipasi untuk menemukan kerentanan siber yang signifikan dan menunjukkan celah apa pun. Layanan ini mencakup pemantauan berkelanjutan terhadap semua aset jaringan yang dapat diakses melalui internet di bank. Selain laporan mingguan, organisasi yang berpartisipasi menerima peringatan ad-hoc tentang temuan yang mendesak, seperti layanan yang berpotensi berisiko dan kerentanan yang diketahui telah dieksploitasi.

Benda mengatakan alat tersebut adalah “tempat yang bagus untuk memulai” bagi lembaga-lembaga kecil yang mencari umpan balik gratis dan diperbarui secara berkala tentang di mana lembaga-lembaga tersebut mungkin memiliki kerentanan yang perlu diperhatikan. Layanan tersebut juga memiliki sedikit biaya tersembunyi; bank-bank dapat menggunakan informasi yang disediakan oleh layanan tersebut hanya dengan staf mereka yang ada, menurut Benda.

“Hambatan untuk masuk sangat rendah,” kata Benda. Alat-alat tersebut berasal dari “vendor tepercaya,” tambahnya, dan bebas untuk dicoba atau digunakan dalam jangka panjang.

Hal yang sama berlaku untuk Umpan Intelijen Ancaman Otomatis (ATIF) milik Departemen Keuangan, alat pertahanan lain yang merupakan bagian dari Proyek Benteng. Umpan tersebut menggabungkan sinyal ancaman — informasi nyata yang dapat digunakan bank untuk memindai sistem internal mereka terhadap ancaman siber — dari Departemen Keuangan, lembaga pemerintah AS lainnya, mitra internasional, lembaga keuangan yang berpartisipasi, dan lebih dari 40 umpan intelijen ancaman sumber terbuka.

Umpan tersebut menawarkan wawasan yang sangat berharga yang tidak bisa didapatkan bank di tempat lain. Sementara sinyal dari umpan ancaman sumber terbuka tersedia secara bebas bagi siapa saja, Departemen Keuangan menyertakan data intelijen yang diturunkan dalam umpan yang biasanya didapatkan bank melalui proses email multi-langkah, bukan umpan otomatis yang sederhana.

Contoh di mana umpan ini sangat berguna adalah ketika sebuah bank mengungkapkan bahwa bank tersebut sedang diganggu oleh ransomware. Bank-bank sejawat biasanya akan kesulitan mengidentifikasi apakah mereka memiliki kerentanan yang sama dan perlu segera mengatasinya, tetapi Umpan Informasi Ancaman Otomatis (ATIF) memberi bank kesempatan untuk melihat ancaman apa yang dihadapi oleh bank-bank sejawat mereka, dan lebih mendekati waktu nyata.

Menurut Mary Beth Quist, wakil presiden senior pengawasan bank di CSBS, Conference of State Bank Supervisors (CSBS) juga mendorong para anggotanya — regulator perbankan negara bagian — untuk mempromosikan Project Fortress kepada bank-bank yang mereka awasi. Menurut Quist, mengajak bank-bank di seluruh negeri untuk berpartisipasi dalam proyek tersebut adalah kuncinya.

“Project Fortress hanya akan berhasil jika bank-bank yang menggunakannya,” kata Quist. “Kami sangat mendukungnya. Bank-bank dari berbagai ukuran, terutama bank komunitas — berjuang dengan keamanan siber, dan mereka menginginkan alat.”

Menurut Brad Robinson, direktur senior kebijakan dan pengawasan keamanan siber di CSBS, pelaku kejahatan siber tidak pandang bulu dalam menentukan siapa yang menjadi target mereka. Artinya, bank dengan berbagai ukuran berpotensi menjadi target, oleh karena itu Departemen Keuangan menyediakan alat pertahanan untuk bank besar maupun kecil.

Menurut Robinson, pesan yang ingin disampaikan CSBS sederhana, dan pesan tersebut sama dengan pesan yang ingin disampaikan oleh regulator negara bagian kepada bank-bank komunitas yang mereka atur:

“Proyek Benteng adalah untuk Anda.”