根据新的网络安全事件通知规则,美国的银行将被要求在发现任何网络安全事件后 36 小时内通知联邦监管机构。该规则于 2022 年 4 月 1 日生效,但要到 5 月 1 日才会开始执行。
联邦存款保险公司 (FDIC)、美联储系统理事会和货币监理署 (OCC) 宣布了针对银行组织及其银行服务的计算机安全事件通知要求的最终版本11 月 18 日的提供商。
受 FDIC 监管的金融组织将需要通过电子邮件、电话或其他类似方法“尽快且不迟于 36 小时”通知 FDIC 指定的联系人,在该组织确定安全事件“上升到发生了通知事件的级别”。如果银行服务中断超过四个小时,银行服务提供商也将被要求向银行报告事件。
根据该规则,“安全事件”是指对信息系统的机密性、完整性或可用性造成实际损害的任何事件。
另一方面,“通知事件”是对运营造成严重干扰、阻止银行提供其产品和服务或对金融部门的稳定性构成风险的事件。示例包括计算机故障以及分布式拒绝服务和勒索软件攻击。
现有指南指示银行“尽快”将未经授权访问敏感客户数据的事件通知其主要监管机构。这条新规则正式确定了“尽快”的含义。它还扩展了指南以涵盖没有暴露客户数据的事件。
该规则要求金融实体仅通知监管机构在此期间发生了某些事情。完整的评估或分析不需要作为通知监管机构的一部分,可以在 36 小时后进行。这是一个重要的区别,因为许多组织可能对发生的事情没有那么快的完整了解。
银行仍需在发现事件后 60 天内提交可疑活动报告 (SAR)。
该规则最初由 FDIC 和 OCC 于 2020 年 12 月提出。
原创文章,作者:CNCSO,如若转载,请注明出处:https://www.cncso.com/bank-of-america-to-report-cyber-attacks.html
