官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
美国当地时间11月18日,美国联邦银行监管机构通过一项新规则,命令银行在36小时内,将重大网络攻击事件报告给主要联邦监管机构。
该准则由联邦存款保险公司(FDIC)、联邦储备系统理事会(Board)和货币监理署(OCC)联合发布,将于2022年4月1日正式生效,合规期延长至2022年5月1日。
新准则规定,不是所有的网络攻击事件都需要报告,只有在重大网络攻击影响到银行系统的正常运营,或者影响美国金融业的稳定时才需要报告。比如,银行客户在访问银行业务系统时遭遇大规模的DDoS攻击,带来的持续性破坏影响达4小时以上,银行就需要尽快通知客户,及时采取应急响应措施,避免遭遇不必要的损失。
“近年来,针对金融服务行业的网络攻击频率及破坏程度都在逐渐增加。这些网络攻击会对银行组织的数据及系统产生不利影响,最终导致银行机构无法正常运营。”FDIC在一份声明中表示:“为了完善报告工作,FDIC将在2022年初梳理受监管范围内实体组织。”
新准则旨在提高银行监管人员对网络安全威胁的认知,在网络安全威胁事件到来之前能做到及时响应,防范于未然。
“新准则在报告流程及时效上作出了明确的规定,这为银行机构的报告工作省去了不必要的麻烦。”FDIC主席Jelena McWilliams说。
本月,美国新通过的《勒索软件和金融稳定法案》,旨在为金融机构制定勒索软件防御和响应指南。法案要求,当遭受勒索软件攻击时,金融机构应及时通知财政部金融犯罪执法网络(FinCEN),主动提供攻击事件及相关赎金的细节。
参考来源:https://www.bleepingcomputer.com/news/security/us-regulators-order-banks-to-report-cyberattacks-within-36-hours/