根据一项新的网络安全事件通知规则,美国的银行将被要求在发现任何网络安全事件后36小时内通知联邦监管机构。该规定将于2022年4月1日生效,不过要到5月1日才会开始执行。
美国联邦存款保险公司(FDIC)、联邦储备系统理事会和货币监理署(OCC)已经于11月18日公布了针对银行机构及其银行服务提供商的计算机安全事件通知要求的最终版本。
FDIC-supervised金融机构将需要通过电子邮件,电话,或其他类似的方法通知FDIC-designated,“在安全事故后尽快和不晚于36小时,上升到一个通知事件”。此外,如果发生银行服务中断超过4小时的事件,银行服务提供者必须向银行报告。
在此规则下,“安全事件”是指对信息系统的保密性、完整性或可用性造成实际损害的任何事件。
另一方面,“通知事件”是指对银行业务造成严重干扰、妨碍银行提供产品和服务、或对金融行业的稳定构成风险的事件。例子包括计算机故障以及分布式拒绝服务和勒索软件攻击。
现有的指南要求银行“尽快”通知主要监管机构有关未经授权访问敏感客户数据的事件。这一新规则正式定义了“越快越好”的含义。它还扩展了指南,以涵盖没有暴露客户数据的事件。
该规则要求金融实体只需通知监管机构,在这段时间内发生了一些事情。完整的评估或分析不需要作为通知监管机构的一部分,并可以在36小时后跟进。这是一个重要的区别,因为许多组织可能无法完整地了解这么快发生了什么。但是银行仍被要求在发现事件后60天内提交可疑活动报告(SAR)。
这项规定最初是由FDIC和OCC在2020年12月提出的。FDIC主席Jelena McWilliams当时在一份声明中表示:“该规则提供了适当的平衡以避免不必要的困难或耗时的报告义务,同时确保监管机构在重大计算机安全事故发生时能够向银行或更广泛的金融系统提供援助。”(本文出自SCA安全通信联盟,转载请注明出处。)