美国银行业新的网络事件报告规则将于5月1日生效。银行将被要求在组织遭受确信的“计算机安全事件”后的前36小时内通知监管机构。该法规于2021年11月首次通过。该规则由美国监管机构集体通过,包括联邦存款保险公司(FDIC)、联邦储备系统理事会和货币审计长办公室。
网络安全人工智能公司Darktrace负责战略和威胁的高级副总裁Marcus Fowler告诉信息安全媒体集团,作为美国经济支柱的金融服务和机构是全球网络攻击对手最有吸引力和针对性的行业之一。
Marcus Fowler说,“这项立法至关重要,因为及时通知在限制攻击规模方面发挥着重要作用,特别是对于依赖威胁情报来获得防御能力的机构”。“网络犯罪分子经常将攻击作为更广泛活动的一部分,包括执行影响数十名受害者的供应链攻击。供应链攻击通常以行业为中心,因为业务运营依赖相同或相似的软件或供应商。一旦发现活动, 攻击者通常会加速他们的进攻行动,以在防御者安装补丁或广泛分发攻击指标(IOCs)之前尽可能多地控制受害者”。因此,快速报告可能有助于其他类似组织免受攻击危害。
Guidepoint Security的首席信息安全官Gary Brickhouse表示,虽然这是FDIC和其他监管机构的一项新要求,但大多数美国银行已经通过纽约金融服务部网络安全法规规定了72小时事件报告窗口。
Brickhouse说,“虽然36小时的报告时间比大多数人习惯的要小,但FDIC提到了通知过程的简洁性,因为它‘没有规定具体的内容或格式’以及开始36小时通知在你确定你有一个实际的,而不是潜在的安全事件之后”。
定义“计算机安全事件”
Brickhouse在他的博客文章中说,这条规则看起来很简单,但“更具挑战性的部分[与]FDIC如何定义通知事件有关。”
政府机构在长达80页的规则草案中阐明了这一点。
规则草案说,“计算机安全事件”是“对信息系统或系统处理、存储或传输的信息的机密性、完整性或可用性造成实际损害”的事件。这些机构表示,需要随后通知的事件被定义为“计算机安全事件”,它破坏或降低了银行组织的运营及其向“客户群的重要部分”和业务线提供服务的能力。
事件报告示例
这些机构在起草规则时表示,他们审查了2019年和2020年向财政部金融犯罪执法网络提交的数据和可疑活动报告。基于此,他们将以下事件列为报告示例:
大规模DDoS攻击中断账户访问超过4小时;
银行服务提供商遭受广泛的系统中断;
系统升级失败导致用户大范围中断;
导致启动连续性或灾难恢复计划的不可恢复的系统故障;
计算机黑客事件导致银行业务长期瘫痪;
银行网络上的恶意软件对核心业务线或关键业务构成迫在眉睫的威胁;
加密核心银行系统或备份数据的勒索软件攻击。
具体指导
2022年3月29日,这些机构发布了具体指南,供受监管的银行组织在报告任何网络安全事件时遵循。
FDIC事件报告信息
受FDIC监管的银行可以通过向其作为FDIC监管相关事宜的主要联系人的案件经理报告事件来遵守规则,如果事件发生在检查期间,也可以向FDIC检查团队的任何成员报告。如果银行无法联系到这些监管团队的联系人,银行可以通过电子邮件event@fdic.gov向FDIC报告。
美联储事件报告信息
主要联邦监管机构是联邦储备系统理事会的银行组织必须通过发送电子邮件至event@frb.gov或致电866-364-0096将通知事件通知董事会。如果银行组织不确定是否遇到通知事件以通知董事会,董事会鼓励该组织通过电子邮件或电话与其联系。
OCC事件报告信息
银行需要在确定通知事件发生后报告OCC。为满足这一要求,银行可以通过电子邮件/致电其监管办公室,通过BankNet网站提交报告,或通过BankNet@occ.treas.gov或致电800-641-5925 联系BankNet帮助台。
36小时时间表:是还是不是?
NYDFS,甚至欧洲的GDPR,都有72小时的入侵报告截止日期。36小时的时间跨度是否太短,尤其是对于拥有复杂系统和工作流程的银行组织而言,可能需要时间来监控、检测和理解违规行为?
Tripwire战略副总裁Tim Erlin说,“很难衡量这一点”。“很难说36小时是否是正确的时间表。更快的报告有利也有弊。联邦存款保险公司应该制定可衡量的目标,并愿意调整要求以更好地实现目标。”
网络安全公司Delinea的首席安全科学家约瑟夫·卡森 (Joseph Carson) 表示,大多数组织仍在尝试确定安全事件的规模和影响,即使在36小时后也是如此,因此这几乎是一个没有确定根本原因的报告。
Carson称,“这可能会增加事件响应人员的负担,试图尽快找到零号病人和根本原因以及安全事件的真实规模和影响,从而间接增加他们对事件响应所需的资源”。
KnowBe4的数据驱动防御布道者Roger Grimes称这是“非常激进”的报告要求,并表示这是他见过的最严格的要求之一。
“必须向客户报告任何四个小时或更长时间的客户中断,就像我所看到的那样激进。从客户的角度来看,这是一件好事 - 非常及时。但从公司报告的角度来看 - 非常激进,”Grimes告诉信息安全媒体集团。
据他介绍,企业在报告时间紧迫的情况下最担心的是他们能否报告准确的信息。“急于必须迅速报告某事意味着有人更有可能报告不准确的事情,这增加了责任风险,”他说。
Pixel Privacy的消费者隐私专家Chris Hauk表示,36小时的时间框架对银行尤其是小型机构来说尤其艰难。他告诉ISMG,他们可能不确定特定的网络攻击是否符合要求的报告阈值。
“从长远来看,这实际上可能会有所帮助,通过向政府快速报告至少可以减少一些损害。但是,政府机构可能会发现自己被这些报告所淹没,尤其是起初,因为机构可能会犯错谨慎并报告每一次可疑的袭击,”Chris Hauk说。
所有部门都有类似的截止日期?
现在,企业和组织被要求遵守更短的报告时间表——36小时、48 小时、72小时,现在,根据最新的印度CERT-In通知,为6小时(请参阅:印度政府新规-6小时内向CERT-IN报告网络安全事件) 。那么,美国是时候将其其他15个关键基础设施纳入这些报告时间限制了吗?
Chris Hauk是这么想的。他说,政府肯定需要将报告规则扩大到其他行业,“特别是能源公司、管道管理和其他敏感的 [关键基础设施] 行业”。
“面对网络攻击的增加,预计由于俄罗斯过去几个月的行动,攻击水平将继续增加,政府正在采取措施以加快响应时间,”而这条规则可能只是给出了一个他说,事件响应人员和政府本身有喘息的空间,以便及时做出反应并确保其他行业的安全。
Synopsys网络安全研究中心的首席安全策略师Tim Mackey表示,金融服务业高度数字化和集成化,使其成为那些寻求颠覆特定机构的主要目标。通过实施这条规则,FDIC、OCC和美联储正在定位 [自己] 以影响依赖我们金融系统有效运作的多个部门的网络安全实践。
原文链接
https://www.govinfosecurity.com/new-us-breach-reporting-rules-for-banks-take-effect-may-1-a-18998
声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。