Wyciek, wykryty w połowie lutego, ale mający wpływ na ponad 100 kont przez ponad rok, jest uważany za „poważny incydent” przez OCC i Departament Skarbu USA. Zhakowane wiadomości e-mail mogą zawierać wysoce poufne dane dostarczone przez banki, w tym szczegóły dotyczące ich kondycji finansowej, zabezpieczeń cyberbezpieczeństwa, oceny podatności, a nawet treść listów bezpieczeństwa narodowego. Listy te często zawierają poufne informacje związane z dochodzeniami w sprawie terroryzmu i szpiegostwa.
Zakres naruszenia bezpieczeństwa wciąż badany
Według Bloomberga decyzja banków o ograniczeniu udostępniania informacji wynika z obaw o potencjalne zagrożenia bezpieczeństwa ich własnych sieci komputerowych w następstwie naruszenia bezpieczeństwa OCC. Przedstawiciele JPMorgan i BNY odmówili komentarza. Rzecznik OCC powiedział sieci, że agencja współpracuje z zewnętrznymi ekspertami ds. cyberbezpieczeństwa w celu przeanalizowania włamania i swoich zasad bezpieczeństwa IT oraz informuje nadzorowane instytucje. OCC potwierdziło również, że inspektorzy na miejscu zachowują niezbędny dostęp do informacji bankowych.
Citigroup, działający na podstawie bardziej rygorystycznego nakazu zgody OCC, podobno nie ograniczył udostępniania informacji. Nadal nie jest jasne, czy inne duże banki, takie jak Bank of America, Wells Fargo i Goldman Sachs, podjęły podobne działania jak JPMorgan i BNY.
Źródła Bloomberga wskazują, że niektóre banki nie były świadome pełnego zakresu naruszenia do czasu ostatnich raportów, co rodzi pytania o początkową reakcję OCC i środki bezpieczeństwa. OCC nadal pracuje nad ustaleniem dokładnego zakresu naruszonych danych i tego, czy dotknięte banki muszą zostać powiadomione.
Podstawa do cyberataków i wymuszeń na bankach
Incydent ten został poddany analizie przez Komisję ds. Usług Finansowych Izby Reprezentantów USA oraz Komisję ds. Bankowości, Mieszkalnictwa i Spraw Miejskich Senatu USA, które domagają się od OCC dodatkowych informacji. David P. Weber, były doradca ds. egzekwowania prawa w OCC, opisał działania banków jako „historyczne” wyzwanie dla autorytetu regulatora, sygnalizując „fundamentalne załamanie się uprawnień kontrolnych OCC”.
