Finans ve Bankacılık, Sektöre Özel, Standartlar, Düzenlemeler ve Uyumluluk
Bankacılık ve Konut Politikası Grupları Yeni Siber Raporlama Tedbirlerini ‘Uygulanamaz’ Olarak Nitelendiriyor
Chris Riotta (@chrisriotta) •
23 Ağustos 2024
Bankacılık ve konut lobilerinden oluşan bir koalisyon, Ginnie Mae’yi ipotek teminatlı menkul kıymetlerin saklayıcıları için “uygulanamaz” siber güvenlik olayı raporlama gerekliliklerini geri almaya çağırdı.
Ayrıca bakınız: Finansal Hizmetler için Yazılım Tedarik Zinciri Platformu
Ülke çapındaki menkul kıymet ödemelerini denetlemekten sorumlu devlet şirketi Ginnie Mae, yakın zamanda ipotek teminatlı menkul kıymetlerinin saklayıcılarının, “önemli” bir siber güvenlik olayı tespit ettikten sonra 48 saat içinde federal kuruma bildirimde bulunmasını gerektiren bir politika yayınladı.
Amerikan Bankacılar Birliği, Banka Politikaları Enstitüsü ve Konut Politikası Konseyi, perşembe günü Ginnie Mae’nin siber güvenlik gerekliliklerini gözden geçirmesi çağrısında bulunan ve önlemleri mevcut hükümet siber düzenleme uyumlaştırma çabalarıyla “tutarsız” olarak tanımlayan bir mektup yayınladı.
Mektupta, yeni gerekliliğin “bildirim için istisnai derecede düşük eşiklere sahip, uygulanabilir olmayan bir ‘önemli siber güvenlik olayı’ tanımı” olduğu belirtiliyor. Tanım, “potansiyel olarak” bilgileri ve “muhtemelen çok sayıda olayı kapsayacak” diğer standartları “tehlikeye atan” olayları kapsıyor.
İç Güvenlik Bakanlığı’nın Siber Olay Bildirim Konseyi daha önce finansal kuruluşlara uygulanan en az sekiz olay bildirimi gerekliliğini tanımlayan bir rapor yayınladı. DHS Sekreteri Alejandro Mayorkas o dönemde yaptığı açıklamada, raporda yer alan önerilerin “raporlanabilir bir siber olayı açıkça tanımlayarak” “raporlama gerekliliklerini basitleştirdiğini ve uyumlu hale getirdiğini” söyledi.
Mektupta, “Ayrıntılı eşikler ve raporlama için zaman dilimleri içeren yeni bir gerekliliğin getirilmesi, zaten karmaşık olan düzenleyici ortamı daha da karmaşık hale getirecektir” deniyor ve koordine olmayan bir düzenleyici yaklaşımın “siber profesyonellerin, kuruluşun siber riskini etkili bir şekilde yönetmek için gerekli olan temel güvenlik faaliyetleri için daha az zamana sahip olmasına neden olacağı” ekleniyor.
Ginnie Mae’nin Tüm Katılımcı Muhtırası, önemli bir siber güvenlik olayını “yasal yetki olmaksızın, bilginin veya bir bilgi sisteminin gizliliğini, bütünlüğünü veya kullanılabilirliğini fiilen veya potansiyel olarak tehlikeye atan bir olay” olarak tanımlıyor. Geniş tanım ayrıca, “güvenlik politikalarının ihlali veya yakın ihlal tehdidi” oluşturan ve “ihraççının yükümlülüklerini yerine getirme yeteneğini doğrudan veya dolaylı olarak etkileme” potansiyeline sahip herhangi bir olayı da içeriyor.
Ginnie Mae’nin yeni yetkileri, ihraççıların raporlarına siber olayın tarihini ve saatini, ayrıca bildirim sırasında bilinenlere dayalı olarak olayın bir özetini ve takip faaliyetleri için bir irtibat noktasını eklemelerini gerektirir. Program yönergeleri, Ginnie Mae temsilcilerinin “ek bilgi almak ve olayın kapsamına ve doğasına bağlı olarak gereken uygun etkileşim düzeyini belirlemek için belirlenen irtibat noktasıyla iletişime geçeceğini” belirtir.
Kılavuzda ayrıca Ginnie Mae’nin bilgi güvenliği gereksinimlerini gözden geçirme sürecinde olduğu ve “bilgi güvenliği, iş sürekliliği ve raporlama gereksinimlerini daha da iyileştirme” niyetinde olduğu belirtiliyor.
Ginnie Mae yorum taleplerine hemen yanıt vermedi.