美国法规要求银行需在36小时内通报网络攻击事件

美国金融主管机关上周颁布新法规要求明年4月开始，银行必须在获知发生网络安全事件36小时内向主管机关通报。

美国联邦存款保险公司（Federal Deposit Insurance Corporation，FDIC）、美国货币总稽核办公室 （Office of the Comptroller of the Currency）、联邦准备理事会最新公布的《网络安全通知最终规则》（Cybersecurity Incident Final Rule）草案，要求银行必须在判断发生“通报事件”等级的电脑安全事件后尽速通报主管机关，最迟不得晚于36小时。

最终规则也要求银行若发生服务的电脑安全事件，导致或可能导致“重大”服务中断4小时以上，必须及早通报每位受影响的客户。

这最终规则预计2022年4月1日生效，而银行完全遵法的期限则可延至5月1日。

根据这项规则，电脑安全事件来源可能是勒索软件等破坏性恶意软件、网络攻击如DDoS，或是非恶意的软硬件、人为失误造成的运作失灵等。这些事件可能对银行网络、资料和系统产生不良影响，最终危及回复正常运作的能力。而及早通报主管机关网络安全事件，以及服务中断影响客户4小时以上事件，有助于他们得知、评估威胁、采取防御或解决措施，协调支援及提供整个银行产业资讯和指引。

今年金融银行业较知名的网络安全事件包括：传输服务平台Accellion遭骇客攻击导致客户资料外泄，影响摩根史坦利。此外，摩根大通银行今年8月也发生了不知名的系统问题， 使银行客户在网站、App进行查询时，可查到其他用户个资及交易资料。此外美国联准会（Federal Reserve）今年2月系统操作错误导致停机，多项重要储汇及支付相关系统数小时无法运作、有些甚至中断长达10多个小时。