Bank komunitas gagal dalam pengawasan vendor: Survei

Sebuah laporan survei dari sebuah firma hukum nasional yang mengkhususkan diri dalam keamanan siber menemukan bahwa bank-bank kecil dan menengah, pada umumnya, gagal menjalankan fungsi pengawasan utama tertentu terhadap vendor pihak ketiga mereka, bahkan ketika regulator bersikeras bahwa mereka meminta pertanggungjawaban pihak ketiga atas sistem perbankan. keamanan.

Temuan Jones Walker, yang memiliki pengacara di delapan negara bagian dan District of Columbia, didasarkan pada survei yang dilakukan pada bulan Juli. Survei mengumpulkan 125 tanggapan dari eksekutif perbankan terhadap pertanyaan tentang kerangka keamanan lembaga mereka, operasi bisnis, audit, dan perencanaan strategis. Para eksekutif tersebut mewakili bank-bank di AS yang memiliki aset kurang dari $50 miliar.

Meskipun sebagian besar responden mengatakan bahwa mereka bergantung pada pihak ketiga untuk fungsi TI yang penting, seperti keamanan siber, perbankan terbuka, dan perbankan sebagai layanan, banyak dari responden tersebut mengatakan bahwa mereka tidak meminta pertanggungjawaban vendor mereka atas pelanggaran data atau memerlukan hak untuk melakukan audit. praktik keamanan siber mereka.

Vendor pihak ketiga sangat penting bagi bank komunitas, yang seperti kebanyakan usaha kecil lainnya, jarang memiliki tim keamanan siber independen. Bahkan bagi mereka yang melakukan hal tersebut, vendor pihak ketiga sering kali memberikan intelijen ancaman dan layanan lain yang hanya dapat ditandingi oleh bank besar.

Jadi, tidak mengherankan jika 99% responden mengatakan mereka sebagian atau seluruhnya bergantung pada pihak ketiga untuk menjalankan fungsi keamanan siber. Demikian pula, 90% mengatakan mereka mengandalkan pihak ketiga untuk menjalankan fungsi bisnis seperti perbankan terbuka atau perbankan sebagai layanan.

Ketergantungan ini menimbulkan beberapa risiko keamanan siber, namun risiko terbesar datang dari kurangnya uji tuntas yang dilakukan bank terhadap pihak ketiga ini, menurut Tom Walker, partner di Jones Walker. Walker menghabiskan enam tahun sebagai penasihat hukum dan kepala keuangan di Bank of Forest di Mississippi.

“Seperti yang ditunjukkan dengan jelas oleh survei kami, bank komunitas dan bank menengah dapat berbuat lebih banyak untuk memitigasi risiko yang ditimbulkan oleh vendor pihak ketiga terhadap sistem informasi, reputasi, dan data nasabah mereka dengan mengikuti standar industri dan peraturan dalam hal perencanaan, uji tuntas, seleksi, negosiasi kontrak, dan pemantauan,” kata Walker.

Salah satu contoh kurangnya uji tuntas adalah hanya 58% responden yang mengatakan bahwa mereka mengharuskan vendor keamanan siber mereka untuk memberikan semacam hak audit, yang memastikan bank dapat mengamati secara langsung praktik keamanan siber vendor tersebut.

Demikian pula, hanya 23% bank yang memiliki persyaratan ganti rugi kontraktual atas pelanggaran data dengan vendor mereka. Persyaratan tersebut meminta pertanggungjawaban vendor jika terjadi pelanggaran data bank pada vendor.

Mungkin yang paling penting adalah hanya 50% responden yang mengatakan bahwa mereka mewajibkan vendor untuk menjalankan program keamanan yang sesuai dengan panduan pemerintah federal. Panduan tersebut akan datang dari Institut Teknologi dan Standar Nasional, yang akan dilaksanakan tahun ini diperbarui kerangka manajemen risiko keamanan sibernya.

Meskipun praktik-praktik ini dapat mengurangi risiko keamanan siber yang dihadapi bank, regulator juga dapat menguranginya diperingatkan bahwa bank perlu melakukan pengawasan terhadap postur keamanan siber vendor pihak ketiga mereka. Hal ini menjadikan kegagalan dalam melakukan pengawasan yang tepat sebagai risiko kepatuhan.

Perlunya pengawasan ini, sebagian disebabkan oleh kesenjangan peraturan antara bank dan vendornya.

“Bank memiliki peraturan yang ketat, namun banyak vendor pihak ketiga yang tidak mengaturnya,” kata Rob Carothers, partner di Jones Walker. “Sangat penting bagi bank untuk melakukan uji tuntas menyeluruh terhadap vendor mereka dan memastikan adanya perlindungan kontrak yang kuat.”

Dalam satu hal penting, kesenjangan peraturan antara bank dan vendor mereka semakin berkurang. Infrastruktur TI (seperti banyak perusahaan yang dianggap sebagai bagian dari infrastruktur penting negara) akan memperoleh keuntungan mandat peraturan baru pada tahun 2025 untuk, dalam waktu 72 jam setelah insiden keamanan siber ditemukan, melaporkan kejadian tersebut ke badan siber terkemuka di negara tersebut.

Bank harus sudah melakukannya melaporkan kejadian seperti itu kepada regulator keuangan mereka, dan perusahaan publik harus memastikannya pengungkapan publik jumlah insiden siber segera setelah terjadi, namun mandat baru ini untuk pertama kalinya akan mewajibkan pelaporan insiden keamanan siber kepada vendor layanan keamanan, penyedia perangkat keras dan perangkat lunak TI, dan jenis perusahaan sektor TI lainnya.

Meski begitu, pelaporan insiden hanyalah salah satu bagian dari teka-teki peraturan dan kepatuhan. Sebelum insiden terjadi, bank juga harus menunjukkan rencana manajemen risiko keamanan siber mereka kepada regulator federal dan negara bagian tertentu, dan risiko pihak ketiga harus menjadi bagian dari teka-teki tersebut. Perusahaan IT tidak menghadapi persyaratan yang sama.

Seiring berkembangnya peraturan dan ancaman keamanan siber, bank perlu berinvestasi dalam strategi pencegahan dan manajemen vendor, menurut Granville Tate, Jr., wakil presiden eksekutif dan kepala administrasi Trustmark National Bank di Jackson, Mississippi.

Laporan dari Jones Walker “berfungsi sebagai pengingat dan sumber daya untuk membantu memperkuat pertahanan kami, melindungi data pelanggan kami, dan memastikan kami tetap tangguh terhadap ancaman dunia maya yang semakin canggih,” kata Tate.