美國聯邦準備理事會示意圖,圖片來源/https://www.flickr.com/people/federalreserve/

美國金融主管機關上周頒布新法規要求明年4月開始,銀行必須在獲知發生網路安全事件36小時內向主管機關通報。

美國聯邦存款保險公司(Federal Deposit Insurance Corporation,FDIC)、美國貨幣總稽核辦公室 (Office of the Comptroller of the Currency)、聯邦準備理事會最新公布的《網路安全通知最終規則》(Cybersecurity Incident Final Rule)草案,要求銀行必須在判斷發生「通報事件」等級的電腦安全事件後儘速通報主管機關,最遲不得晚於36小時。

最終規則也要求銀行若發生服務的電腦安全事件,導致或可能導致「重大」服務中斷4小時以上,必須及早通報每位受影響的客戶。

這最終規則預計2022年4月1日生效,而銀行完全遵法的期限則可延至5月1日。

根據這項規則,電腦安全事件來源可能是勒索軟體等破壞性惡意軟體、網路攻擊如DDoS,或是非惡意的軟硬體、人為失誤造成的運作失靈等。這些事件可能對銀行網路、資料和系統產生不良影響,最終危及回復正常運作的能力。而及早通報主管機關網路安全事件,以及服務中斷影響客戶4小時以上事件,有助於他們得知、評估威脅、採取防禦或解決措施,協調支援及提供整個銀行產業資訊和指引。

今年金融銀行業較知名的網路安全事件包括:傳輸服務平台Accellion遭駭客攻擊導致客戶資料外洩,影響摩根史坦利。此外,摩根大通銀行今年8月也發生了不知名的系統問題, 使銀行客戶在網站、App進行查詢時,可查到其他用戶個資及交易資料。此外美國聯準會(Federal Reserve)今年2月系統操作錯誤導致停機,多項重要儲匯及支付相關系統數小時無法運作、有些甚至中斷長達10多個小時。


熱門新聞

Advertisement