Bankama je rečeno da postanu oštrije po pitanju kibernetičke sigurnosti u 2016

Zahtjevi za kibernetičku sigurnost države New York iz 2016. za banke, za koje se očekuje da će se primjenjivati ​​u cijeloj zemlji, uključuju autentifikacija s više faktora, redovite revizije i pentestovi te stroga cybersigurnosna kontrola dobavljača treće strane.

Državna regulatorna tijela New Yorka pripremaju se objaviti nove smjernice za kibernetičku sigurnost za banke od kojih se očekuje da će uspostaviti status quo za državna i savezna bankarska regulatorna tijela.

Smjernice koje dolaze iz Ministarstva financijskih usluga države New York pokrivaju potrebne politike za upravljanje dobavljačima, kršenje obavijest, implementacija višefaktorske autentifikacije za kupce, zaposlenike i pružatelje usluga i upravljanje sigurnošću treće strane politike.

Ova vijest bit će dašak svježeg zraka za opravdane strahove da su banke zaostale u kibernetičkoj sigurnosti, iako izdavanje novih smjernica očekuje se početkom 2016. i do sada nije određen rok za usklađivanje sa smjernicama otkriveno.

Ova promjena ima jake korijene u pismo iz studenoga od NYSDFS-a, koji je istaknuo slabost financijske industrije u pogledu kibernetičke sigurnosti i njezino problematično oslanjanje na pružatelje usluga trećih strana za kritične bankarske i osiguravateljske funkcije.

U pismu se navode zabrinjavajući rezultati internih sigurnosnih istraživanja i procjena rizika, uz napomenu da financijske institucije nisu bile u stanju pratiti razvoj napada i obrane u infosecu, da dobavljači trećih strana predstavljaju ozbiljan rizik za kibernetičku sigurnost i da je razmjer napada sada globalno važan.

Regulacija je na pomolu. U pismu NYSDFS stoji: "Postoji dokazana potreba za snažnim regulatornim djelovanjem u cyber sigurnosni prostor, a Odjel sada razmatra novu uredbu o kibernetičkoj sigurnosti za financijsku institucije."

Očekuje se da će zahtjevi nametnuti stvaranje pravila za upravljanje kibersigurnošću pružatelja usluga trećih strana, što će uključivati ​​zapošljavanje kvalificiranih CISO-ova, osiguravajući provedbu CISO-ova postupke i standarde kibernetičke sigurnosti koji osiguravaju sigurnost aplikacije, koristeći višefaktorsku autentifikaciju, održavajući politike obavijesti o kibernetičkim incidentima i kršenjima (između ostalog zahtjevi).

U potezu koji je trebao biti učinjen prije mnogo godina, financijske institucije sada će morati "provoditi godišnje testiranje penetracije i tromjesečne procjene ranjivosti."

Prema uvjetima odjela, menadžment dobavljača treće strane ima posebne zahtjeve koji će se vjerojatno pokazati teško implementirati, iako bi, ako bi bila uspješna, rezultirala povećanjem razine težine za napadače sveukupno. Prema BankInfoSecurity, "federalni bankarski regulatori u posljednjih 18 mjeseci naglašavaju potrebu za većim nadzorom treće strane."

Ti zahtjevi trećih strana uključuju minimalno da banke osiguraju dobavljačima trećih strana: Šifriranje svih osjetljivih podataka, kako u prijenosu tako iu mirovanju; Obavijestiti bankovnu instituciju o svim kibersigurnosnim incidentima; Ugovorno obeštetiti bankovnu instituciju od bilo kakvog kibersigurnosnog incidenta koji rezultira gubitkom podataka; Dopustiti bankovnoj instituciji ili njezinim agentima da obavljaju revizije kibernetičke sigurnosti svih trećih strana; Implementacija višefaktorske autentifikacije i više.

Ostaje za vidjeti kako će to biti provedivo, ali to je nekoliko koraka u dobrom smjeru. Sa stajališta potrošača, tužno je što smo morali čekati ovoliko dugo da naše banke imaju razinu sigurnosti koja se može usporediti s maloprodajnim organizacijama na mreži i društvenim mrežama... ali barem ide na bolje.