根據新的網路安全事件通知規則,美國的銀行將被要求在發現任何網路安全事件後36 小時內通知聯邦監管機構。該規則於2022 年4 月1 日生效,但要到5 月1 日才會開始執行。
聯邦存款保險公司(FDIC)、聯準會系統理事會和貨幣監理署(OCC) 宣布了針對銀行組織及其銀行服務的電腦安全事件通知要求的最終版本11 月18 日的提供者。
受FDIC 監管的金融組織將需要透過電子郵件、電話或其他類似方法「盡快且不遲於36 小時」通知FDIC 指定的聯絡人,在該組織確定安全事件「上升到發生了通知事件的級別」。如果銀行服務中斷超過四小時,銀行服務提供者也將被要求向銀行報告事件。
根據該規則,「安全事件」是指對資訊系統的機密性、完整性或可用性造成實際損害的任何事件。
另一方面,「通知事件」是對營運造成嚴重干擾、阻止銀行提供其產品和服務或對金融部門的穩定性構成風險的事件。例如電腦故障以及分散式阻斷服務和勒索軟體攻擊。
現有指南指示銀行「盡快」將未經授權存取敏感客戶資料的事件通知其主要監管機構。這條新規則正式確定了「盡快」的含義。它還擴展了指南以涵蓋沒有暴露客戶資料的事件。
該規則要求金融實體僅通知監管機構在此期間發生了某些事情。完整的評估或分析不需要作為通知監管機構的一部分,可以在36 小時後進行。這是一個重要的區別,因為許多組織可能對發生的事情沒有那麼快的完整了解。
銀行仍需在發現事件後60 天內提交可疑活動報告(SAR)。
該規則最初由FDIC 和OCC 於2020 年12 月提出。
原创文章,作者:CNCSO,如若转载,请注明出处:https://cncso.com/tw/bank-of-america-to-report-cyber-attacks-html