New York, California bersiap untuk meneliti keamanan siber bank

Pada tahun mendatang, regulator keuangan negara bagian di New York diperkirakan akan meningkatkan penegakan peraturan keamanan siber seiring dengan berlakunya amandemen terhadap peraturan ini dan para pemeriksa akan meneliti secara rinci apakah dan bagaimana bank menerapkan peraturan tersebut.

Tindakan penegakan hukum baru-baru ini yang dilakukan oleh Departemen Jasa Keuangan, atau NYDFS, telah memberi isyarat bahwa bank-bank yang beroperasi di negara bagian tersebut perlu memberikan perhatian yang cermat terhadap apa yang sebenarnya mereka lakukan untuk melindungi informasi non-publik, menurut Bess Hinson-Greenspan, mitra di firma hukum Holland & Knight yang berfokus pada keamanan siber dan litigasi privasi. Hinson-Greenspan berbicara tentang prospek tindakan penegakan dunia maya negara pada acara hari Rabu yang diadakan oleh firma hukum tersebut.

Menurut peraturan NYDFS, informasi non-publik mencakup informasi pribadi konsumen seperti nomor Jaminan Sosial, namun tidak seperti beberapa definisi peraturan lainnya dari istilah serupa, informasi ini juga secara luas mencakup informasi apa pun yang “akan menyebabkan dampak merugikan yang material terhadap bisnis” jika terjadi pelanggaran data.

Penanganan informasi non-publik yang tepat berperan dalam tindakan penegakan hukum baru-baru ini oleh NYDFS terhadap Genesis Global Trading, sebuah perusahaan perdagangan mata uang kripto yang telah gulung tikar. Kasus ini berakhir dengan denda $8 juta atas kegagalan mematuhi peraturan mata uang virtual dan keamanan siber negara tersebut, termasuk kegagalan dalam menerapkan kebijakan dan prosedur mengenai pembuangan informasi non-publik secara teratur dan kegagalan dalam mengenkripsi informasi ini dengan benar.

Terkait, serangkaian amandemen dibuat berdasarkan peraturan keamanan siber NYDFS pada tahun 2023 dan mulai berlaku pada bulan November. Amandemen ini mempengaruhi perubahan tata kelola pada program manajemen risiko keamanan siber bank, kebijakan tertulis tentang praktik enkripsi standar industri, dan rencana respons insiden tertulis.

Amandemen terakhir dari rangkaian amandemen ini juga akan berlaku tahun ini. Pada bulan Mei 2025, kebijakan yang berkaitan dengan pemindaian kerentanan otomatis, pengendalian terhadap kode berbahaya, dan peningkatan persyaratan untuk mengakses kontrol – batasan di mana karyawan dan pengguna lain dapat mengambil tindakan pada sistem bank – semuanya akan berlaku.

Terakhir, pada November 2025, seluruh bank yang beroperasi di New York perlu menerapkan otentikasi multifaktor bagi setiap individu yang dapat mengakses sistem informasi bank. Ini berarti pegawai bank dan nasabah bank harus menggunakan otentikasi multifaktor. Pada bulan tersebut, bank juga perlu menerapkan kebijakan tertulis tentang inventarisasi aset sistem TI.

Di luar peraturan dan regulasi, struktur yang dibangun oleh pengawas NYDFS, Adrienne Harris, berdasarkan peraturan keamanan siber dan tindakan penegakan hukum di departemennya juga menunjukkan bahwa dia siap untuk bertindak tahun ini seiring dengan berlakunya amandemen akhir. Harris mengatakan dalam wawancara siaran pada bulan Desember dengan American Banker bahwa departemen tersebut memiliki tim pemeriksa khusus keamanan siber yang melengkapi unit bisnis dalam ujian.

Dia juga menyoroti total denda sebesar $100 juta yang dikeluarkan departemennya sebagai respons terhadap pelanggaran peraturan keamanan siber, dan menambahkan bahwa dia adalah pengawas pertama badan tersebut yang mengenakan denda tersebut.

Harris juga menyoroti pentingnya tata kelola risiko keamanan siber yang memadai bagi bank, hal yang menurutnya ditekankan dalam amandemen baru-baru ini.

“Kami benar-benar ingin memastikan lembaga-lembaga kami memperhatikan peran jajaran eksekutif, peran dewan, bagaimana mereka seharusnya berpikir tentang CISO, dan memastikan bahwa keahlian dalam struktur tata kelola tersebut ada,” Harris dikatakan.

Di sisi lain, bank-bank yang beroperasi di California perlu memperhatikan potensi peningkatan tindakan penegakan hukum oleh California Privacy Protection Agency, atau CPPA. Didirikan pada tahun 2020, lembaga ini bertugas menerapkan California Privacy Rights Act, atau CPRA, dan California Consumer Privacy Act, atau CCPA.

CPPA telah menetapkan penegakan CCPA yang ketat, yang disahkan pada tahun 2018, sebagai tujuan utama dalam rencana strategisnya untuk tahun 2024 hingga 2027. Dengan demikian, penegakan hukum privasi diperkirakan akan meningkat, menurut Hinson-Greenspan.

Sebagian besar undang-undang privasi negara bagian memberikan pengecualian bagi perusahaan yang tercakup dalam Undang-Undang Gramm-Leach-Bliley, yaitu undang-undang federal yang mengatur bagaimana bank dan credit unions harus menangani dan mengungkapkan penanganan data konsumen mereka. California malah mengecualikan informasi pribadi yang tercakup dalam Undang-Undang Gramm-Leach-Bliley, yang berarti bahwa bank yang terlibat dalam aktivitas non-keuangan — misalnya, menggunakan data pribadi untuk penargetan iklan — harus mematuhi undang-undang privasi negara bagian.

Contoh terbaru dari tindakan penegakan hukum telah diambil melawan penerbit game bahwa, menurut Jaksa Agung California Rob Bonta dan Jaksa Kota Los Angeles Hydee Feldstein Soto, melanggar CCPA dan hukum federal dengan mengumpulkan dan membagikan data anak-anak tanpa izin orang tua. Negara juga punya kasus-kasus yang dikejar terhadap perusahaan keuangan, namun hal ini tidak terjadi baru-baru ini; Equifax menghadapi tindakan penegakan hukum terkait privasi pada tahun 2019, seperti yang dilakukan Wells Fargo pada tahun 2016 dan Citibank pada tahun 2013.

Menurut Hinson-Greenspan, lembaga keuangan sering menjadi sasaran tuntutan hukum class action terkait teknologi yang digunakan untuk pemasaran dan pengawasan digital. Potensi tuntutan hukum atas teknologi seperti piksel pelacakan, yang memberikan analisis kepada perusahaan tentang siapa sebenarnya yang mengunjungi situs web mereka, akan menciptakan preseden mengenai apakah dan bagaimana undang-undang privasi California mengatur penggunaannya, katanya.

“Banyak lembaga keuangan yang memanfaatkan teknologi digital untuk menjangkau nasabah,” kata Hinson-Greenspan. “Saya yakin unit bisnis atau tim pemasaran Anda menghadirkan solusi seperti itu kepada Anda setiap hari, mingguan, bulanan, dan mereka terus berkembang. Kami mengharapkan dorongan berkelanjutan untuk kepastian apakah Undang-Undang Invasi Privasi California atau CIPA berlaku. ke (teknologi) seperti piksel pelacakan, perangkat lunak pemutaran ulang sesi, dan chatbots.”