2022年《關鍵基礎設施網絡事件報告法案》將幫助或混淆金融機構?

上周,美國國會和參議院通過了《2022年關鍵基礎設施網絡事件報告法案》,目前正在等待拜登總統簽署。根據該法案,聯邦機構和企業,包括金融機構,被認為是美國關鍵基礎設施的一部分,將被要求在72小時內報告網絡攻擊,並在24小時內報告勒索軟件支付,向網絡安全和基礎設施安全局(CISA)。根據該法案,CISA有權傳喚未報告網絡安全事件或勒索軟件付款的組織。不遵守傳票的組織可以被移交給司法部。值得注意的是,CISA將有兩年的時間在法律頒布後提出規則,並有18個月的時間來製定規則。期待更多細節和清晰度的到來。

違反通知規則

盡管新法案在為被認定為美國關鍵基礎設施的實體設置通知標準方麵意義重大,但由於聯邦銀行監管機構要求在2022年4月1日生效的36小時網絡安全漏洞通知要求,其對銀行的影響可能不那麼重大。根據該規定,銀行和銀行服務提供商必須在36小時內將升至“通知事件”級別的事件通知監管機構。鏈接到Bre一個chNotfc一個tonReureent年代.請記住,在撰寫本文時,NCUA還沒有采用36小時的違規通知規則。

除了“72小時”和“36小時”通知要求的區別之外,術語上也有區別,“網絡攻擊”和“通知事件”。這些差異可能會給銀行和銀行服務提供商帶來一定程度的困惑。直到銀行或銀行服務提供者確定發生了通知事件,36小時通知時鍾才會啟動。根據規定,這些機構表示,他們預計“銀行將花一段合理的時間”來確定是否發生了通知事件。根據2022年《關鍵基礎設施網絡事件報告法案》,如果關鍵基礎設施實體遭遇網絡攻擊,必須在72小時內通知CISA。

勒索軟件支付沒那麼快

有一點是明確的,勒索軟件支付必須在24小時內報告。金融機構應該記住,2021年9月21日,美國財政部外國資產控製辦公室(“OFAC”)發布了一份“關於便利勒索軟件支付的潛在製裁風險的最新谘詢”。OFAC可以根據嚴格責任原則對違反製裁的行為實施民事處罰,這意味著受美國管轄的人員可能要承擔民事責任,即使該人員不知道或沒有理由知道其與受OFAC管理的製裁法律和法規禁止的人員進行了交易。

準備和測試是關鍵

無論您是銀行、信用社還是金融機構服務提供商,我們都建議開發和測試一個健壯的事件響應和報告程序。網絡攻擊無論是由網絡犯罪分子還是國家行為者發起的,都對美國金融部門構成了重大威脅。

我們如何提供幫助?

CLA繼續為我們的客戶提供無縫的綜合服務。我們的金融機構網絡安全顧問可以幫助您瀏覽新的監管規則,開發和測試事件響應程序,或成為您值得信賴的顧問。我們是來了解你和幫助你的。聯係我們要學習更多的知識。

分享

  • 金融服務負責人、IT和網絡負責人
  • 錫達拉皮茲市,IA
  • 319-363-2697

John Moeller是CLA的負責人,專注於為金融機構的技術和網絡安全需求提供服務。在他的職業生涯中,John通過管理服務、戰略技術規劃、脆弱性/風險評估、控製審查和信息安全項目開發為金融機構服務。作為一名顧問,John曾擔任金融機構的外包信息安全顧問和外包技術顧問。

評論都關門了。

通過電子郵件接收CLA的金融機構博客

*表示需要

Baidu
map