Ransomware Makin Marak, Pemerintah AS Buat Aturan tentang Pelaporan Insiden Serangan Siber di Perbankan
JAKARTA – Regulator perbankan A.S. pada Kamis 17 November menyelesaikan aturan yang mengarahkan bank untuk melaporkan insiden keamanan siber utama kepada pemerintah dalam waktu 36 jam setelah ditemukan.
Secara terpisah, industri perbankan juga mengatakan telah berhasil menyelesaikan latihan keamanan siber lintas industri secara besar-besaran yang bertujuan untuk memastikan Wall Street tahu bagaimana merespons jika terjadi serangan ransomware yang mengancam untuk mengganggu berbagai layanan keuangan di dunia, terutama di AS.
Perkembangan tersebut menyoroti meningkatnya ancaman yang ditimbulkan oleh insiden siber skala besar terhadap stabilitas keuangan. Ini jelas membahayakan bagi perekonomian AS.
“Industri jasa keuangan adalah target utama, menghadapi puluhan ribu serangan siber setiap hari,” kata Kenneth Bentsen, CEO dari Securities Industry and Financial Markets Association, yang mengorganisir dan memimpin latihan industri tersebut.
Aturan bank baru menetapkan bahwa bank harus memberi tahu regulator utama mereka tentang pelanggaran keamanan komputer yang signifikan sesegera mungkin, dan tidak lebih dari 36 jam setelah ditemukan.
Baca juga:
Bank juga harus memberi tahu nasabah sesegera mungkin tentang insiden keamanan siber jika mengakibatkan masalah yang berlangsung lebih dari empat jam.
Persyaratan baru ini berlaku untuk setiap insiden keamanan siber yang diperkirakan akan berdampak material terhadap kemampuan bank untuk menyediakan layanan, menjalankan operasinya, atau merusak stabilitas sektor keuangan. Aturan ini disetujui oleh Federal Reserve, Federal Deposit Insurance Corporation dan Kantor Pengawas Keuangan Mata Uang di AS.
Kebijakan ini menetapkan harapan eksplisit tentang seberapa cepat bank harus membuat pelanggaran keamanan siber diketahui, karena regulator berupaya mengejar peran teknologi yang berkembang pesat dalam setiap jenis layanan perbankan. Sebelumnya, tidak ada persyaratan khusus tentang seberapa cepat bank harus melaporkan pelanggaran komputer besar.