编辑：左右里

11月18日，美国银行监管机构发布了一项新规定，要求银行必须在36小时内向监管机构通报重大计算机安全事件。这些事件包括如大规模分布式拒绝服务攻击、恶意软件攻击、硬件及软件的非恶意故障、人员失误等影响客户对银行服务的正常访问或需要长时间关闭银行业务的计算机安全事件。在这项规定发布之前，美国对于银行机构必须以多快的速度报告计算机安全事件并没有具体的要求。

由美国联邦存款保险公司（FDIC）、美国联邦储备委员会和美国货币监理署（OCC）发布的规定最终稿将于2022年4月1日生效，受监管的银行机构必须在2022年5月1日前完成合规。

联邦存款保险公司（FDIC）是由美国国会创建的独立机构，旨在维持国家金融体系的稳定性和公众信心。

该规定明确了银行机构计算机安全事件严重到何种程度时需要报告：该事件已经或可能影响其正常运营、提供产品及服务的能力或美国金融部门的稳定性。并且规定了如果该计算机安全事件可能会对客户造成四小时及更长时间的影响，银行机构也有尽快通知客户的义务。

该规定的出台能够帮助银行监管机构及时了解关键的网络攻击，同时避免在不重要的问题上耗费太多精力与时间，并且提高监管机构对银行机构及更广泛的美国金融体系面临的新威胁的认识，以便为日后对相关事件的应对积累经验。

金融行业一直以来是网络攻击的首要目标之一，网络攻击严重影响到银行等金融机构网络、数据、系统及其恢复正常运营的能力。而近年来针对金融行业的网络攻击的频率和严重程度都在增加，这可能是促使美国加快行业规制步伐的原因。

另外，据路透社报道，美国银行业已成功完成了一项大规模的跨行业网络安全演习，以确保对勒索软件攻击的快速响应。

资讯来源：美国联邦存款保险公司（FDIC）官网

转载请注明出处和本文链接（美国新规：银行机构须于36小时内报告计算机安全事件）