小型银行可能面临36小时网络报告规定的挑战
私人市场360 |第八集:推动全球私人市场(与美国的亚当·坎斯勒&P全球市场情报)
FIMA EUROPE 2023:探讨金融数据、治理和未来趋势的交集
信息图:2024年能源转型展望
世界上最大的P&C保险商,2023
银行必须开始遵守一项新规定,要求它们在36小时内向监管机构报告某些计算机安全事件, 报告的时间框架可能具有挑战性, 尤其是对小公司来说.
该规定由美国联邦存款保险公司(fdic)联合发布., 货币监理署和联邦储备委员会, 呼吁通过电话向监管机构报告, 电子邮件或类似的方法. 尽管该规定已于4月1日生效, 银行机构和银行bet9平台游戏提供商必须在5月1日之前遵守规定.
36小时的时间比较短,因为, 在大多数情况下, 监管机构倾向于允许至少几天的报告时间, 大卫·墨菲说, 施耐德唐斯的网络安全经理 & Co. 公司. 对于小型银行来说, 由于人员和资源较少,处理报告和管理问题本身可能是一项挑战.
“如果你是一家小银行, 你有一个小的IT团队, 您将希望您的IT团队专注于处理事件, 不一定是报道所发生事情的细节,”墨菲, 谁在安全方面帮助银行, 在一次采访中说.
银行监管机构, 以及州和其他联邦监管机构, 是否有越来越大的压力要求尽可能多地报告网络事件, 他说.
“在所有这些规则之前, 基本上没有动机去报告你遇到了某种与电脑有关的事故, 这就产生了问题,墨菲说. “这基本上导致我们无法理解问题的范围."
在过去的18个月里,勒索软件的数量有所增加, 朱莉·伯纳德说, 德勤网络和战略风险团队负责人. 对于大银行来说, 德勤与哪家合作最多, 此需求是“对其标准事件响应计划的更新”. 不是很大的更新, 但他们必须弄清楚的是:他们需要向哪些监管机构报告? 他们已经在向其他行业组织做报告了."
银行已经被要求在最初发现可能作为报告依据的信息后不超过30天提交可疑活动报告, 这些报告并不都与网络安全有关. 新规定也适用于某些银行bet9平台游戏提供商. 按照规定, 当银行bet9平台游戏提供商确定发生了计算机安全事件时,他们需要尽快向银行机构客户报告, 或合理地可能导致, bet9平台游戏中断或退化达4小时或更长时间."
为了维持监管关系,金融机构可能会增加而不是减少通知, 而且这些规则通常都是针对重大事件写的, 迈克尔·博吉亚说, Davis Wright Tremaine LLP信息安全小组负责人.
“我们不会试图解析出你什么时候必须通知,什么时候不通知的所有细节, 内部原因,波吉亚在接受采访时说, 他描述了与他交谈过的大多数金融机构的观点. “我们将倾向于通知,因为维持这种关系对我们非常有价值, 从长远来看,试图想出一个聪明的理由来解释为什么我们不应该通知别人是没有意义的, 真的."
bet9平台游戏提供者的报告要求
银行的合规可能包括通过更新合同或其他方式通知其bet9平台游戏提供商. 所涵盖的bet9平台游戏是受《银行bet9平台游戏公司法》约束的bet9平台游戏. 例如,整理和邮寄支票和存款, 计算和邮寄利息和其他费用和信贷,以及准备和邮寄支票.
伯纳德说,她很惊讶没有从这些第三方那里听到更多关于他们的要求以及他们将如何向银行报告的信息.
“我知道还有其他人也有同样的担忧,”伯纳德说. “因此,如果一家银行的核心银行系统依赖于一家非常大的软件公司, 现在最常见的是基于云的产品……如果那个软件有问题的话, 他们的分支网络也坏了, 需要怎样的通知链, 即使你在努力解决问题?"
因为bet9平台游戏提供商与联邦银行监管机构没有直接关系, 要把新规定宣传出去是一项挑战, 约翰·盖林格说, 巴拉克·费拉扎诺·科什鲍姆律师事务所合伙人 & Nagelberg LLP). 今年3月,他在巴拉克•费拉扎诺(Barack Ferrazzano)共同主持的网络研讨会上发表了讲话, 美国银行家协会, Fiserv公司. 金融bet9平台游戏信息共享与分析中心. 大约有120个,全国范围内的银行bet9平台游戏提供商约为5000家,000家银行, Geiringer补充道.
银行需要与其bet9平台游戏提供商就这一规定进行沟通.
“对于银行机构来说,更新合同并与bet9平台游戏提供商进行对话是明智的,波吉亚说. “‘你们是否提供保险bet9平台游戏?’”他补充说,更新合同并不是该规定的要求. 波吉亚根据这一规定为银行机构和bet9平台游戏提供商提供建议.
规则中的定义描述了银行和bet9平台游戏提供商必须报告的事件的不同标准.
“在某些情况下,bet9平台游戏提供商将需要通知银行机构, 但银行机构可能不需要通知监管机构,波吉亚说. “因此,bet9平台游戏提供商可能需要通知更广泛的事件."