U svibnju 2017. Ministarstvo financijskih usluga države New York (NYDFS) objavilo je 23 NYCRR dio 500, novo pravilo kibernetičke sigurnosti. Ovaj propis je sada na snazi, ali o čemu se točno radi, možda nije jasno.
Od objave, ovaj skup zahtjeva doživio je nekoliko promjena, a njegov pravni jezik može biti nejasan. Što je NYDFS uredba o kibernetičkoj sigurnosti i kako ona utječe na vas? Pogledajmo pobliže.
Što je NYDFS-ova uredba o kibernetičkoj sigurnosti?
NYDFS propis o kibernetičkoj sigurnosti navodi popis sigurnosni zahtjevi za financijske usluge u New Yorku. Poput europske Opće uredbe o zaštiti podataka (GDPR), ova pravila imaju za cilj zaštititi podatke građana držeći tvrtke u skladu s određenim standardom. U ovom slučaju ti standardi uglavnom dolaze iz NIST-ov okvir za kibernetičku sigurnost.
Prema ovim propisima, njujorške financijske tvrtke moraju:
- Povremeno pregledavajte sigurnost i privatnost podataka njihovih IT sustava.
- Zabilježite događaje kibernetičke sigurnosti i čuvajte te zapise pet godina.
- Imaju pravila i postupke za sigurno brisanje osobnih podataka koji im više nisu potrebni.
- Ograničite pristup osobnim podacima (PII) i redovito provjeravajte te povlastice.
- Imajte detaljan napisani plan o otkrivanju, reagiranju i oporavku od incidenata kibernetičke sigurnosti.
- Obavijestite NYDFS u roku od 72 sata od događaja kibernetičke sigurnosti.
Za razliku od nekih sličnih zakona, NYDFS uredba o kibernetičkoj sigurnosti uključuje detaljne upute o tome od čega bi se ti planovi sigurnosti i izvješćivanja trebali sastojati. Također zahtijeva od tvrtki da osiguraju sigurnost svojih trećih strana, a ne samo da su njihove interne operacije.
Ovi zahtjevi čine ovu uredbu jednom od najširih i najstrožih u bilo kojoj državi. Tvrtke koje ih prekrše mogle bi se suočiti s velikim kaznama, ali je još uvijek nejasan puni razmjer kazni.
Na koga se primjenjuje NYDFS uredba o kibernetičkoj sigurnosti?
Uredba NYDFS o kibernetičkoj sigurnosti odnosi se na bilo koju osobu ili entitet za to je potrebna licenca NYDFS-a. To pokriva financijska i osiguravajuća društva u New Yorku, uključujući:
- Banke.
- Kreditne unije.
- Investicijska društva.
- Ovlašteni zajmodavci.
- Hipotekarni brokeri.
- Davatelji osiguranja.
- Štedioničke i kreditne udruge.
Ti obuhvaćeni subjekti uključuju lokalne tvrtke i strane tvrtke licencirane za rad u New Yorku. Na primjer, iako je Deutsche Bank njemačka tvrtka, mora se pridržavati 23 NYCRR dijela 500 od djeluje u New Yorku.
Postoji nekoliko izuzetaka na ovom popisu. Izuzete su tvrtke s manje od 10 zaposlenih, manjim od 5 milijuna dolara godišnjeg prihoda iz New Yorka u posljednje tri godine ili manje od 10 milijuna dolara ukupne imovine na kraju godine. Kao i tvrtke koje ne pohranjuju ili ne obrađuju privatne podatke, ali to je malo vjerojatno za tvrtku za financijske usluge.
Što za vas znači Uredba o kibernetičkoj sigurnosti?
Ako živite ili imate banku u državi New York, vaša institucija vjerojatno potpada pod ove propise. Čak i ako to ne učinite, NYDFS propis o kibernetičkoj sigurnosti i dalje bi se mogao primjenjivati na vašu banku. Ako ima podružnicu koja posluje u državi i ispunjava financijske zahtjeve, morat će se pridržavati.
Kao klijent banke, ne morate poduzimati nikakve korake prema ovim zahtjevima. Ipak, možda ćete vidjeti neke promjene u načinu rada vaše financijske institucije ili osiguravatelja. Možda ćete morati upotrijebiti dodatne sigurnosne korake poput višefaktorske provjere autentičnosti (MFA) ili prilagoditi svoja dopuštenja jer te tvrtke poboljšati svoje mjere kibernetičke sigurnosti.
NIST okvir za kibernetičku sigurnost, koji je inspirirao ova pravila, uključuje pravovremenu razmjenu informacija, što može utjecati na vas. Ako dođe do incidenta u vašoj banci ili osiguravatelju, možda će vas morati obavijestiti. Vjerojatno nećete morati ništa učiniti kao odgovor, ali možete očekivati da ćete primati ove vrste poruka.
Čak i ako nemate nikakvu zakonsku obvezu prema 23 NYCRR, dio 500, najbolje je biti oprezan sa svojim financijskim podacima. Uvijek koristite jedinstvene, jake lozinke, omogućite MFA kada je to moguće i nikada ne dajte PII nepoznatom izvoru. Strogost ovih propisa naglašava koliko su ova pitanja važna, stoga budite oprezni.
Vlade shvaćaju kibernetičku sigurnost ozbiljnije
Uredba o kibernetičkoj sigurnosti NYDFS-a jedan je od mnogih nedavnih primjera lokalnih vlasti koje donose zakone o kibernetičkoj sigurnosti. Kako digitalni alati postaju sve češći u svakodnevnom životu, ova pravila će samo rasti.
I potrošači i tvrtke trebaju biti u tijeku s tim propisima kako bi bili sigurni da su u skladu s njima. Ove promjene se u početku mogu činiti kompliciranim, ali one su nužan korak prema boljoj sigurnosti.
Vaši računi na društvenim mrežama i pametni telefoni prikupljaju podatke o vama, a te informacije mogu koristiti vladine agencije. Evo kako i zašto.
Pročitajte dalje
- Sigurnost
- Cybersigurnost
- Online privatnost
- Sigurnost podataka
Shannon je kreator sadržaja koji se nalazi u Philly, PA. Piše u području tehnologije oko 5 godina nakon što je diplomirala IT. Shannon je glavna urednica ReHack Magazina i pokriva teme poput kibernetičke sigurnosti, igranja i poslovne tehnologije.
Pretplatite se na naše obavijesti
Pridružite se našem biltenu za tehničke savjete, recenzije, besplatne e-knjige i ekskluzivne ponude!
Kliknite ovdje za pretplatu