美國金融監管機構已經批准了一項新規則,要求銀行機構在發現任何”重大”網絡安全事件的36小時內進行報告。根據該規則,銀行必須向其主要的聯邦監管機構通報已經或有可能對其運營的可行性、其提供產品和服務的能力或美國金融業的穩定性產生實質性影響的事件。這可能包括破壞客戶訪問銀行服務的大規模分佈式拒絕服務(DDoS)攻擊,或使銀行業務長時間無法運行的計算機黑客事件。
此外,銀行(該規則將其定義為”銀行組織”,包括國家銀行、聯邦協會和外國銀行的聯邦分行)–必須在事件已經或可能對其客戶產生實質性影響的四個小時或以上的情況下”儘快”通知客戶。
“計算機安全事件可能是由破壞性的惡意軟件或惡意軟件(網絡攻擊),以及硬件和軟件的非惡意故障、人員錯誤和其他原因造成的,”計算機安全事件通知最終規則解釋道。“近年來,針對金融服務行業的網絡攻擊的頻率和嚴重程度都在增加。這些網絡攻擊會對銀行組織的網絡、數據和系統產生不利影響,並最終影響其恢復正常運營的能力。”
由聯邦存款保險公司(FDIC)、聯邦儲備系統理事會(Board)和貨幣監理署(OCC)批准的最終規則將於2022年4月1日生效,預計將於2022年5月1日全面遵守。
FDIC在一份聲明中告訴TechCrunch,這些規則”將只適用於那些由三個銀行機構(FDIC、美聯儲或貨幣監理署)承保或監管的實體,或為受監管銀行提供服務的組織”。
金融監管機構在12月首次提出通知要求,但在收到行業團體的一些負面反饋后,它被迫改變了最終規則的一些內容。例如,最初的版本說,如果銀行”真誠地相信”他們遭受了重大的網絡事件,就必須報告事件,但業界警告說,這可能會導致對各種事件的過度報告,因此該規則被修改。
“在仔細考慮了意見后,機構正在用銀行組織的決定取代‘善意的信念’標準,”最終規則摘要指出。“機構同意評論者的意見,他們批評擬議的’善意相信’標準過於主觀和不精確。”
銀行政策研究所是對該法規提出意見的行業團體之一,它在一份聲明中說,它支持最終規則。
“BPI認識到及時通知的價值,並支持最終規則,該規則為在發生重大事件時通知監管機構和受影響方確立了明確的時間表和靈活的程序,”BPI技術和風險戰略高級副總裁Heather Hogsett說。“該規則還重要的是保持了通知和報告之間的明確區別。網絡事件通知鼓勵監管機構和銀行之間的早期合作,以便監管機構了解可能對整個金融系統產生更廣泛影響的情況,同時銀行努力應對和調查該事件。”
![CYKCHV1]X9M[6C})0GDGO1T.png](https://dailyclipper.s3.ap-northeast-1.amazonaws.com/wp-content/uploads/2021/11/20211120_61984bdf4aa05.png)