Starting May 1, banks in the U.S. 是否需要在36小时内将网络安全事件通知其主要联邦监管机构, 一个紧迫的周转时间对一些机构来说可能是一个挑战, said David Murphy, cybersecurity manager at accounting firm Schneider Downs.
"这肯定会是一个挑战,尤其是对小型银行而言," Murphy谈到 new rule, which also applies to bank service providers.
遵守这一规定的最后期限到来之际,拜登政府已经采取了行动 warned U.S. businesses about the increasing risk of Russian cyberattacks.
拜登总统还鼓励企业遵守一项新法律,该法律包括在1美元纸币中.5 trillion spending bill he signed last month, 该法案要求公司在得知黑客攻击后72小时内通知网络安全和基础设施安全局.
The joint ruling issued, by the Federal Deposit Insurance Corp., 美国货币监理署和美联储于11月被解雇, requires financial institutions to adhere to a shorter timeline.
“36小时实际上可能是最严格的规定之一, as far as timeline goes," Murphy said. “除此之外,你还必须考虑什么是可报告的事件."
Under the rule, 银行必须尽快通知其主要监管机构,且不迟于该机构确定“发生了需要通知的计算机安全事件”后36小时."
In the ruling, 这些机构将计算机安全事件定义为“对机密性造成实际损害的事件”, integrity, 或者信息系统的可用性或者系统处理的信息, stores, or transmits."
墨菲说,该机构关于什么是“通知事件”的措辞相当宽泛.
墨菲说:“我认为他们故意把它留在灰色地带。. “他们只是想让你联系他们,即使你认为有一个灰色地带,然后他们会让你知道. It's going to be a good thing, in general. I think it's going to awaken people to how big the problem is, 因为我认为整个行业并没有完全理解这一点."
墨菲说,银行可能需要与法律部门就什么是应报告的事件进行内部讨论.
他说:“这件事以后可能会被提起诉讼。.
Escalating threat
“银行在网络安全方面一直有一定程度的监管. 但在这种情况下,我认为监管机构试图做的是确定,‘这个问题有多大?'" said Murphy on the impetus for the rule.
According to a 2022 report by cloud computing company VMware, 63%的金融机构在过去一年中遭受的网络攻击有所增加, a 17% increase from the previous year's report.
U.S. 在过去不断升级的国际冲突中,银行一直是黑客的目标.
In 2012, Iranian hackers, responding to U.S. 针对该国核武器计划的制裁,攻击了第一资本和BB&T, causing widespread outages at the two banks.
As next month's incident reporting deadline approaches, 墨菲说,银行需要有相关机构官员的电话号码和电子邮件地址,以便在发生安全事件时随时可用.
"That information should be ready to go. 36个小时的时间太短了,可能会有一些争论。. “这可能是最难的部分,争论什么符合这个门槛."
随着银行业网络风险警告和指导的增加, 墨菲说,现在是银行it人员强调网络安全投资重要性的好时机.
“这无疑给了It人员一个寻求更多资金的机会,并让董事会知道这是一件重要的事情,并在总体上照顾网络安全," he said.