Subkomite DPR mendapat kritik dari perwakilan bank kecil, serikat kredit, dan lembaga keuangan minoritas pada dengar pendapat tentang peningkatan keamanan siber dan privasi data pelanggan.

Apa yang didapat subkomite adalah serangkaian masalah, termasuk kebutuhan institusi kecil yang diabaikan oleh vendor mereka, kurangnya koordinasi antara lembaga federal yang mengatur tindakan siber mereka dan hampir monopoli oleh penyedia “prosesor inti” yang menangani sebagian besar dari setiap fungsi back-office lembaga keuangan.

Rep. Ed Perlmutter, D-Colo., ketua subkomite, mengutip peningkatan besar dalam serangan ransomware yang menargetkan lembaga keuangan sebagai motivasi diselenggarakannya dengar pendapat.

“Dalam bisnis dan kedokteran, ada berbagai versi aturan Sutton,” katanya, mengacu pada sindiran terkenal perampok bank Willie Sutton bahwa dia merampok bank karena “di situlah uangnya.”

Dia mengutip laporan Trend Micro yang dirilis pada bulan September yang mengatakan lembaga keuangan melihat peningkatan serangan ransomware 1,318% pada paruh pertama tahun 2021, dibandingkan dengan periode yang sama tahun lalu.

Robert E. James II, presiden dan CEO Carver Financial Corporation di Savannah, Georgia, dan ketua Asosiasi Bankir Amerika saat ini, mengatakan bahwa lembaga penyimpanan minoritas, atau MDI, seperti dia mendapatkan sangat sedikit bantuan dari vendor mereka.

“Kami sangat bergantung pada tiga prosesor inti besar,” katanya. “Sebagai bank terkecil, kami mendapatkan layanan terburuk dan inovasi paling sedikit.” Di dunia keuangan, prosesor inti menyediakan sistem back-end yang memproses transaksi perbankan harian, seperti penyetoran dan penarikan, pinjaman, dan pemrosesan kredit, bersama dengan antarmuka ke sistem buku besar dan alat pelaporan.

Carlos Vazquez, kepala petugas keamanan informasi untuk Canvas Credit Union di Colorado, menunjukkan keterbatasan tenaga kerja dalam keamanan siber. “Kekurangan besar terjadi pada profesional yang terampil,” katanya.

Dia memuji Badan Keamanan Cybersecurity dan Infrastruktur; Departemen Keamanan Dalam Negeri dan Pusat Berbagi; dan Analisis Informasi Layanan Keuangan dengan melakukan “pekerjaan yang bagus” seperti berbagi informasi tentang pelanggaran, kerentanan dan tambalan, dan ancaman persisten lanjutan yang muncul, atau APT. Namun, dia juga mengatakan bahwa vendor dan pemasok perangkat lunak perlu melakukan pekerjaan yang lebih baik dalam mengidentifikasi dan memperbaiki kekurangan lebih awal.

Vazquez juga meminta agar Administrasi Credit Union Nasional diberikan otoritas pengawasan undang-undang yang sama untuk organisasi layanan credit union dan vendor pihak ketiga yang melayani credit union seperti yang dimiliki FDIC, misalnya, atas bank.

“Vendor yang memiliki akses ke data anggota kami harus memenuhi standar yang sama” seperti yang mereka lakukan untuk bank, katanya.

Jeff Newgard, presiden dan CEO Bank of Idaho, berbicara atas nama Independent Community Bankers of America, mencatat bahwa baik bank besar maupun kecil akhirnya menanggung biaya untuk pelanggaran yang terjadi di perusahaan lain.

“Penyedia inti dan penyedia pihak ketiga, agen kredit, pengecer—mereka tidak tunduk pada standar dan pengawasan keamanan data federal [Gramm-Leach-Bliley Act, atau GLBA]. Biaya pelanggaran harus ditanggung oleh pihak yang mengalami pelanggaran; terlalu sering mereka menghindari tanggung jawab” dan meninggalkan pelanggan dan bank untuk membayar tagihan, katanya.

“Ancamannya lebih besar dari sebelumnya dan terus berkembang,” katanya. “Hanya tiga atau empat penyedia [prosesor inti] yang mendominasi [dan] itu menempatkan target di belakang mereka.”

Samir Jain, direktur kebijakan untuk Pusat Demokrasi dan Teknologi, berfokus pada tiga tantangan yang, meskipun mempengaruhi sektor lain, sangat terkait dengan sektor keuangan: lembaga keuangan sangat saling berhubungan, memberikan peluang bagi serangan siber untuk menyebar dengan cepat; kesenjangan dalam sumber daya keamanan siber antara institusi besar dan kecil; dan ketergantungan industri yang meningkat pada teknologi.

Jain mengatakan berbagi informasi tentang serangan siber adalah bagian mendasar dari pertahanan siber, tetapi “sulit dilakukan [karena] harus memisahkan sinyal dari kebisingan. Satu langkah yang harus dipertimbangkan Kongres adalah mengamanatkan agar sektor tersebut melaporkan insiden siber.”

Dia juga meminta GLBA untuk mencakup semua teknologi keuangan, atau fintech, perusahaan, bukan hanya bank, untuk memberikan setidaknya tingkat dasar perlindungan privasi.

“Waktunya telah tiba bagi Kongres untuk memberlakukan undang-undang privasi yang komprehensif untuk mengurangi jumlah data yang dibagikan,” katanya.

Selama interogasi, anggota subkomite tampak bersimpati pada permintaan saksi untuk bantuan tambahan.

“Kita harus meningkatkan tindakan kita untuk menangani keamanan siber, khususnya yang berkaitan dengan bank komunitas, MDI, dll.,” kata Maxine Waters, D-Calif., ketua komite penuh. “Saya pikir ini adalah kesempatan bagus untuk bekerja dengan sisi lain dari lorong.”

Blaine Luetkemeyer, R-Mo., setuju ini adalah topik di mana kedua partai politik memiliki kesamaan. Dia bertanya kepada Newgard bagaimana pihak ketiga menghindari tanggung jawab atas dampak dan biaya pelanggaran.

“Lembaga keuangan tunduk pada pemeriksaan, [tetapi] itu tidak mencakup seluruh sektor,” jawab Newgard. “Ketika pelanggan menerima informasi tentang pelanggaran, katakanlah, kartu debit mereka—ada sedikit insentif bagi pengecer atau prosesor untuk membantu. Mereka tidak menanggung biayanya, konsumen tidak menanggung biayanya, tetapi bank menanggungnya… Ada begitu banyak kelumpuhan di dunia konsumen—begitu banyak pelanggaran dan tidak ada pertanggungjawaban.”

Frank Lucas, R-Okla., bertanya bagaimana pemerintah federal dapat membantu. Newgard menyarankan beberapa cara.

“Kami berada di bawah keinginan penyedia inti. Kontraknya sangat mahal dan berjangka panjang. Jika kita pergi dalam dua atau tiga tahun [dan ingin berubah], sangat mahal untuk keluar dari itu, ”katanya. “Ada kesenjangan di dalam badan pengatur. Kami memiliki empat regulator berbeda untuk mencoba mengatasinya, dan terkadang mereka tidak sinkron atau bertentangan. Lebih banyak berbagi informasi di seluruh ekosistem sehingga kami bisa mendapatkan peringatan tentang ancaman ini. Dan kami ingin informasi lebih lanjut tentang kerentanan; kami merasa tertinggal setengah langkah.”

Menanggapi pertanyaan oleh Ayanna Pressley, D-Mass., tentang privasi data, Jain mengatakan dia yakin perusahaan tidak boleh terus menggunakan praktik “pemberitahuan dan persetujuan”. “Kami harus meminta mereka untuk mengumpulkan hanya informasi yang mereka butuhkan untuk produk atau layanan yang telah didaftarkan oleh pelanggan, dan jika perusahaan ingin menggunakannya dengan cara lain, itu harus kembali” dan meminta persetujuan lagi.

“Satu tindakan yang harus diambil Kongres adalah mengadopsi undang-undang privasi federal,” kata Jain. “Saya pikir ada hubungan yang sangat kuat antara undang-undang privasi dan keamanan siber yang lebih baik”.

Sumber: Nextgov