A National Credit Union Administration (NCUA) está atualizando as regras de relatórios de ataques cibernéticos, exigindo que todas as cooperativas de crédito com seguro federal relatem incidentes dentro de 72 horas após a descoberta.
A nova política, anunciou a NCUA, entrará em vigor em 1º de setembro e cobrirá todos os incidentes que afetam os sistemas de informação ou a integridade, confidencialidade ou disponibilidade de dados nesses sistemas.
“A partir de 1º de setembro de 2023, todas as cooperativas de crédito seguradas pelo governo federal devem notificar a NCUA o mais rápido possível, e no máximo 72 horas, depois que a cooperativa de crédito acreditar razoavelmente que sofreu um incidente cibernético relatável ou recebeu uma notificação de terceiros. sobre um incidente cibernético reportável”, o NCUA anunciou.
A NCUA define incidentes relatáveis como aqueles que levam ao comprometimento da rede ou do sistema após acesso não autorizado ou exposição de informações confidenciais ou à interrupção de serviços ou sistemas operacionais.
“Por exemplo, se uma união de crédito com seguro federal tomar conhecimento de que dados confidenciais são acessados, modificados ou destruídos ilegalmente, ou se a integridade de uma rede ou sistema de informações de membros for comprometida, o incidente cibernético é reportável”, explica o NCUA.
Incidentes envolvendo adulteração não autorizada de sistemas de informação ou exposição errônea de dados confidenciais também são reportáveis, observa a organização.
Para incidentes que não desencadeiam relatórios sob o novo regulamento, mas que envolvem acesso não autorizado às informações do usuário, as cooperativas de crédito continuarão a contar com a estrutura de relatórios anterior.
De acordo com o novo regulamento, ataques cibernéticos, como negação de serviço distribuída (DDoS), que podem levar à interrupção de operações comerciais, serviços ou sistemas, são reportáveis. No entanto, ataques com falha, incluindo tentativas de phishing bloqueadas, não devem ser relatados.
Avarias inesperadas que levam à interrupção do acesso à conta do membro por períodos substanciais de tempo também devem ser relatadas.
A nova regulamentação também exige que as cooperativas de crédito relatem violações e interrupções de dados que ocorreram após um ataque cibernético a provedores de serviços terceirizados, exceto os incidentes realizados por hackers de chapéu branco.
“A definição geral de um incidente cibernético relatável destina-se a capturar o relato de incidentes cibernéticos substanciais. A determinação de ‘substancial’ de uma cooperativa de crédito depende de uma variedade de fatores, incluindo o tamanho da cooperativa de crédito, o tipo e o impacto da perda e sua duração”, observa o NCUA.
De acordo com o regulamento atualizado, as cooperativas de crédito são obrigadas a relatar incidentes cibernéticos dentro de 72 horas após formar “uma crença razoável de que ocorreu um incidente cibernético relatável” ou após serem informados por terceiros sobre o comprometimento ou interrupções de dados após um ataque cibernético.
“Ao seguir essas diretrizes e implementar os requisitos de notificação de incidentes cibernéticos, sua cooperativa de crédito pode aprimorar sua postura geral de segurança cibernética e melhorar os recursos de resposta a incidentes”, conclui o NCUA.