近日,美国金融监管机构批准了一项新规,要求银行机构在发现任何"重大"网络安全事件后的36小时内进行报告。根据该规定,银行必须向其主要的联邦监管机构通报已经或有可能对其业务运营、其提供产品和服务或美国金融业的稳定性产生实质性影响的事件。如大规模分布式拒绝服务(DDoS)攻击,或是造成银行业务中断的其他攻击事件。
此外,银行机构(包括国家银行、联邦协会和外国银行的联邦分行)必须在事件已经或可能对其客户产生实质性影响的四个小时或以上的情况下"尽快"通知客户。
该项由联邦存款保险公司(FDIC)、联邦储备系统理事会(Board)和货币监理署(OCC)批准的新规将于2022年4月1日生效,并于2022年5月1日全面实施。
美国金融监管机构在该项规定中提到,“近年来,针对金融服务行业的网络攻击的频率和严重程度都在增加。这些网络攻击会对银行组织的网络、数据和系统产生不利影响,并最终影响其恢复正常运营的能力。此外,除了破坏性的恶意软件或网络攻击外,由硬件或软件的非恶意故障、人员错误操作和其他原因也可能导致出现大规模安全事故。”
FDIC在一份声明中解释,这些规定"将只适用于那些由三个银行机构(FDIC、美联储或货币监理署)承保或监管的实体,或为受监管银行提供服务的组织"。
据了解,金融监管机构曾在去年12月首次提出相关通知要求,但在收到银行业的反对后,它被迫改变了最终规定中的一些内容。例如,最初的版本说,如果银行自认为遭受了重大的网络事件,就必须报告。但银行业界警告说,这可能会导致对各种事件的过度报告,因此该规则被修改。
“在仔细考虑了意见后,金融监管机构正在用银行组织的决定取代此前提出的标准,”最终规则摘要指出。“机构同意银行业界的意见,他们批评“自认为”标准过于主观和不精确。”