Americké banky se bouří proti nové regulaci ze strany Komise pro cenné papíry (SEC), která od poloviny roku 2023 vyžaduje, aby veřejně obchodované firmy – včetně bank – oznámily každý významný kybernetický útok do čtyř pracovních dnů. Pravidlo je podle nich nejen zbytečně zatěžující, ale také potenciálně nebezpečné.

Nové nařízení: více transparentnosti, nebo chaos?

Pravidlo s oficiálním názvem Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure Rule ukládá firmám povinnost detailně popsat dopad, časový průběh a rozsah útoku. Zároveň musejí každý rok zveřejňovat informace o své strategii a správě kybernetických rizik.

Podle bank však může dojít k tomu, že budou muset zveřejnit útok ještě před dokončením interního vyšetřování – tedy bez znalosti skutečného dopadu nebo rozsahu narušení. To může ohrozit nejen vyšetřování samotné, ale i důvěru klientů. Asociace Bank Policy Institute uvedla:
„Toto pravidlo přidává další vrstvu ke složitému systému oznamovacích povinností, kterým již finanční instituce čelí. Ministerstvo vnitřní bezpečnosti identifikovalo v roce 2023 celkem 45 různých požadavků na hlášení kybernetických incidentů, které spravuje 22 různých federálních agentur.“

Zdroj: Shutterstock

Banky varují: Útočníci mohou využít pravidlo k vydírání

Banky se obávají i dalšího efektu. Povinnost včas zveřejnit informace o útoku by mohla nahrávat vyděračům. Ti by například během ransomwarového útoku mohli požadovat výkupné s tím, že jinak zveřejní detaily incidentu dřív, než to učiní samotná banka – čímž by narušili její reputaci a případně i compliance.

Pod protestní deklaraci se podepsaly nejvlivnější americké bankovní organizace:

• American Bankers Association (ABA)
• Bank Policy Institute (BPI)
• Securities Industry and Financial Markets Association (SIFMA)
• Independent Community Bankers of America (ICBA)
• Institute of International Bankers (IIB)

Už v roce 2023 tyto skupiny lobovaly za odklad implementace pravidel a požádaly o dvanáctiměsíční výjimku.

Podobný přístup zvolila i Austrálie, kde nová legislativa ukládá povinnost nahlásit každou platbu výkupného do 72 hodin. Firmy s ročním obratem přes 3 miliony australských dolarů musí uvést částku, měnu i čas komunikace s útočníky.