美国金融主管机关上周颁布新法规要求明年4月开始,银行必须在获知发生网络安全事件36小时内向主管机关通报。
美国联邦存款保险公司(Federal Deposit Insurance Corporation,FDIC)、美国货币总审核办公室(Office of the Comptroller of the Currency)、联邦储备理事会最新公布的《网络安全通知最终规则》(Cybersecurity Incident Final Rule)草案,要求银行必须在判断发生“通报事件”等级的计算机安全事件后尽快通报主管机关,最迟不得晚于36小时。
最终规则也要求银行若发生服务的计算机安全事件,导致或可能导致“重大”服务中断4小时以上,必须尽早通报每位受影响的客户。
这最终规则预计2022年4月1日生效,而银行完全遵法的期限则可延至5月1日。
根据这项规则,计算机安全事件来源可能是勒索软件等破坏性恶意软件、网络攻击如DDoS,或是非恶意的软硬件、人为失误造成的运行故障等。这些事件可能对银行网络、资料和系统产生不良影响,最终危及恢复正常运行的能力。而尽早通报主管机关网络安全事件,以及服务中断影响客户4小时以上事件,有助于他们得知、评估威胁、采取防御或解决措施,协调支持及提供整个银行产业信息和指引。
今年金融银行业较知名的网络安全事件包括:传输服务平台Accellion遭黑客攻击导致客户资料外泄,影响摩根史坦利。此外,摩根大通银行今年8月也发生了不知名的系统问题,使银行客户在网站、App进行查询时,可查到其他用户个人信息及交易资料。此外美国美联储(Federal Reserve)今年2月系统操作错误导致停机,多项重要储汇及支付相关系统数小时无法运行、有些甚至中断长达10多个小时。