Page 42 - NO.153銀行家雜誌
P. 42
焦點新聞
Hot News
等機關代表。這個跨部會機關負責制定並更新 金融機構,也包括保險公司,NAIC推出的網
《資訊科技手冊》,除供聯邦檢查員使用外, 路安全法規就是這麼做,其他州也有類似規
州政府的銀行檢查員也會參考這份手冊,在檢 範,這也呼應網路安全事件時的監理趨勢以
查州特許機構時使用。手冊也獲得貨幣傳輸監 及顧客通報要求。
理單位協會參考,用於監管、檢查非存款型的
金融機構。 紐約DFS法規
F i n C E N也發布了相關指引,也就是 一體適用於各類金融機構
2021年11月的《勒索軟體及利用金融系統
幫助支付贖金── 相關建議》(Advisory on 紐約州金融服務署(D F S)最近非常積
Ransomware and the Use of Financial System 極,它是公認的網路安全領頭羊,特別重視
to Facilitate Ransom Payments),文件中列 網路安全法規。該主管機關會提供指引、建
出12個紅旗警示,也提到了可疑活動的申報 議、最佳實務或框架,但法規不同之處在於
規定,FinCEN及執法機關認為涉及勒索軟體 有強制力。發布法規的紐約D F S,負責管理
攻擊的可疑交易,也屬於需要立即注意的違法 很多的金融機構,不只是銀行,也包括非銀
情事。 行的金融機構:貨幣傳輸、貨幣服務、保險 AD
延續強制申報的主題,聯邦的銀行主管 公司。從政策角度來看,紐約人應該要對自
機關FRB、OCC、FDIC在2021年11月的時候 己所有的金融工具有信心,無論是保險公司
已確立最終版網路安全事件通報規範,針對銀 的終身壽險、銀行裡的存款、數位資產交易
行業者及其服務供應商── 請注意強調了服務 所裡的資產、貨幣傳輸業者的電子錢包,要
供應商。這項最終版規範,要求銀行機構碰到 確定是安全的。從公共政策的角度,無論使
「嚴重網路安全事件」時(條文中有相關定 用哪種金融服務,民眾應該都可受到類似保
義),必須向主管機關通報,且必須在事件發 護。為此,紐約DFS的法規,其實就是要一體
生36小時內通報。依規定必須通報的事件, 適用於各類金融機構。
包括已經或可能嚴重影響銀行業務運作、提供 另外,D F S發布的指南也非常有用,因
銀行產品及服務能力,或者影響金融穩定。此 為裡面分享了所觀察到的業界作法。D F S其
外,銀行或銀行服務供應商都必須盡快告知受 實收集了非常多網路安全事件相關資訊,而
影響客戶,在確認發生應通報事件,且已經嚴 Fed、OCC、FDIC近期也開始仿效,分享類似
重影響,或可能嚴重影響銀行客戶達4小時以 資訊。這類資訊其實都非常有用,可以幫助
上時,就應盡快告知。前面所說的最終規範, 大家了解如何防患未然、預防勝於治療,藉
從今年5月1日起生效。 由執法行動幫助機構更穩健、更安全營運。
這裡有幾個重要主題:向主管機關通報, 美國金融服務署在網路安全治安方面持
以及向大眾宣布相關消息。有幾個近期的聯邦 續不斷與時俱進,看來其他的主管機關預計
申報要求,特別需要關注,因為這幾年來, 也會開始受到這方面作為的影響,採取類似
紐約的州主管機關規定是用更整體的眼光看待 作法,來修改自身的監管計畫。
42 台灣銀行家2022.9月號
1 5% JOEE