从5月1日开始,美国的银行将在美国开设分行.S. 是否需要在36小时内将网络安全事件通知其主要联邦监管机构, 一个紧迫的周转时间对一些机构来说可能是一个挑战, 大卫·墨菲说, 施耐德唐斯会计师事务所的网络安全经理.
"这肯定会是一个挑战,尤其是对小型银行而言," Murphy谈到 新规则,这也适用于银行bet9平台游戏提供商.
遵守这一规定的最后期限到来之际,拜登政府已经采取了行动 警告你.S. 企业 俄罗斯网络攻击的风险越来越大.
拜登总统还鼓励企业遵守一项新法律,该法律包括在1美元纸币中.他上个月签署了5万亿美元的支出法案, 该法案要求公司在得知黑客攻击后72小时内通知网络安全和基础设施安全局.
联邦存款保险公司(Federal Deposit Insurance Corp .,简称fdic)发布的这项联合裁决., 美国货币监理署和美联储于11月被解雇, 要求金融机构遵守较短的时间表.
“36小时实际上可能是最严格的规定之一, 就时间而言,墨菲说. “除此之外,你还必须考虑什么是可报告的事件."
按照规定, 银行必须尽快通知其主要监管机构,且不迟于该机构确定“发生了需要通知的计算机安全事件”后36小时."
在裁决中, 这些机构将计算机安全事件定义为“对机密性造成实际损害的事件”, 完整性, 或者信息系统的可用性或者系统处理的信息, 商店, 或传输."
墨菲说,该机构关于什么是“通知事件”的措辞相当宽泛.
墨菲说:“我认为他们故意把它留在灰色地带。. “他们只是想让你联系他们,即使你认为有一个灰色地带,然后他们会让你知道. 总的来说,这是一件好事. 我认为这会让人们意识到问题有多严重, 因为我认为整个行业并没有完全理解这一点."
墨菲说,银行可能需要与法律部门就什么是应报告的事件进行内部讨论.
他说:“这件事以后可能会被提起诉讼。.
不断升级的威胁
“银行在网络安全方面一直有一定程度的监管. 但在这种情况下,我认为监管机构试图做的是确定,‘这个问题有多大?’”墨菲在谈到出台这一规定的动机时说.
根据… 云计算公司VMware的2022年报告, 63%的金融机构在过去一年中遭受的网络攻击有所增加, 比去年的报告增长了17%.
U.S. 在过去不断升级的国际冲突中,银行一直是黑客的目标.
In 2012, 伊朗黑客,回应U.S. 针对该国核武器计划的制裁,攻击了第一资本和BB&造成两家银行大范围停电.
随着下个月事件报告截止日期的临近, 墨菲说,银行需要有相关机构官员的电话号码和email地址,以便在发生安全事件时随时可用.
“这些信息应该已经准备好了. 36个小时的时间太短了,可能会有一些争论。. “这可能是最难的部分,争论什么符合这个门槛."
随着银行业网络风险警告和指导的增加, 墨菲说,现在是银行it人员强调网络安全投资重要性的好时机.
“这无疑给了It人员一个寻求更多资金的机会,并让董事会知道这是一件重要的事情,并在总体上照顾网络安全,他说.