新规要求信用合作社报告网络事件

重点内容

国家信用合作社管理局（NCUA）作为一个于1970年成立的小型联邦机构，致力于监管联邦信用合作社，近期将提议一项新规，要求联邦保险信用合作社在发现“重大”网络事件后72小时内向政府报告。这一通知将充当对政府的“早期警报”，且在此时间内并不需要详细的事件评估。

根据即将在《联邦公报》上发布的通知，NCUA指出，近年来针对金融行业的网络攻击愈发频繁。其中一些类型的攻击，例如勒索软件，可能严重影响备份和数据恢复操作。

“考虑到金融服务行业中的网络事件频率及其严重性，委员会认为及时通知国家信用合作社管理局非常重要，这包括对影响联邦保险信用合作社运营、导致敏感数据未授权访问或干扰会员访问账户或服务的网络事件，”该机构表示。

新规鼓励（但不强制）信用合作社联系执法部门，报告任何实质性的网络事件。这些事件的定义包括因未经授权访问而导致网络或会员信息系统的机密性、完整性或可用性损失，或对运营系统和流程的安全性或韧性产生严重影响。

重要信息 | 说明
—|—
网络事件定义 | 任何实质性的网络事件，导致敏感数据的未授权访问或干扰服务。
第三方的重要性 | 信用合作社通常依赖少数技术供应商，问题或失败可能影响许多信用合作社。

NCUA 强调包括第三方的必要性，因为许多信用合作社在小型技术生态系统中运作。例如，仅有五个供应商负责约87%的信用合作社系统总资产。

“关键供应商或CUSO的重大问题可能导致多个信用合作社的中断和损失，从而对国家信用合作社保险基金（NCUSIF）和经济安全构成风险，”NCUA表示。

作为有381百万美元预算的小型机构，NCUA成为最新一个实施强制报告黑客攻击和其他数字安全事件规则的联邦机构。网络安全和基础设施安全局（CISA）、证券交易委员会（SEC）、运输安全局等已经在为关键基础设施或上市公司制定类似规则，以帮助联邦政府更好地了解这些威胁的范围和影响。

本月早些时候，美国国家安全局（NSA）一名高级技术执行官迈克尔·德兰斯菲尔德在一次活动中指出：“我们对关键系统的操作可视性严重不足。”这表明，华盛顿正在采取一些措施，但在关键基础设施的监控方面仍存在显著不足。