美國法規要求銀行需在36小時內通報網路攻擊事件

美國金融主管機關上周頒布新法規要求明年4月開始，銀行必須在獲知發生網路安全事件36小時內向主管機關通報。

美國聯邦存款保險公司（Federal Deposit Insurance Corporation，FDIC）、美國貨幣總稽核辦公室 （Office of the Comptroller of the Currency）、聯邦準備理事會最新公布的《網路安全通知最終規則》（Cybersecurity Incident Final Rule）草案，要求銀行必須在判斷發生「通報事件」等級的電腦安全事件後儘速通報主管機關，最遲不得晚於36小時。

最終規則也要求銀行若發生服務的電腦安全事件，導致或可能導致「重大」服務中斷4小時以上，必須及早通報每位受影響的客戶。

這最終規則預計2022年4月1日生效，而銀行完全遵法的期限則可延至5月1日。

根據這項規則，電腦安全事件來源可能是勒索軟體等破壞性惡意軟體、網路攻擊如DDoS，或是非惡意的軟硬體、人為失誤造成的運作失靈等。這些事件可能對銀行網路、資料和系統產生不良影響，最終危及回復正常運作的能力。而及早通報主管機關網路安全事件，以及服務中斷影響客戶4小時以上事件，有助於他們得知、評估威脅、採取防禦或解決措施，協調支援及提供整個銀行產業資訊和指引。

今年金融銀行業較知名的網路安全事件包括：傳輸服務平台Accellion遭駭客攻擊導致客戶資料外洩，影響摩根史坦利。此外，摩根大通銀行今年8月也發生了不知名的系統問題， 使銀行客戶在網站、App進行查詢時，可查到其他用戶個資及交易資料。此外美國聯準會（Federal Reserve）今年2月系統操作錯誤導致停機，多項重要儲匯及支付相關系統數小時無法運作、有些甚至中斷長達10多個小時。