במאי 2017, מחלקת השירותים הפיננסיים של מדינת ניו יורק (NYDFS) פרסמה את 23 NYCRR Part 500, כלל חדש לאבטחת סייבר. תקנה זו נכנסה לתוקף במלואו, אך ייתכן שלא ברור מה היא בדיוק.
מאז הודעתו, מערכת הדרישות הזו עברה כמה שינויים, והשפה המשפטית שלה עשויה להיות לא ברורה. מהי תקנת אבטחת הסייבר של NYDFS ואיך היא משפיעה עליך? בואו נסתכל מקרוב.
מהי תקנת אבטחת הסייבר של NYDFS?
רשימות תקנות אבטחת הסייבר של NYDFS דרישות אבטחה לשירותים פיננסיים בניו יורק. כמו תקנת הגנת המידע הכללית של אירופה (GDPR), כללים אלו מטרתם להגן על נתוני האזרחים על ידי החזקת חברות בסטנדרט מסוים. במקרה זה, הסטנדרטים הללו מגיעים בעיקר מסגרת אבטחת הסייבר של NIST.
על פי תקנות אלה, חברות פיננסיות בניו יורק חייבות:
- סקור מעת לעת את האבטחה ואת פרטיות הנתונים של מערכות ה-IT שלהם.
- הקלט אירועי אבטחת סייבר ושמור את הרשומות הללו למשך חמש שנים.
- יש מדיניות ונהלים למחיקת מידע אישי שהם אינם צריכים עוד.
- הגבל את הגישה למידע הניתן לזיהוי אישי (PII) ובדוק באופן קבוע את ההרשאות הללו.
- יש תוכנית כתובה מפורטת על גילוי, תגובה והתאוששות מתקריות אבטחת סייבר.
- הודע ל-NYDFS בתוך 72 שעות מאירוע אבטחת סייבר.
בניגוד לכמה חוקים דומים, תקנת אבטחת הסייבר של NYDFS כוללת הנחיות מפורטות לגבי מה צריכות להיות מורכבות תוכניות האבטחה והדיווח הללו. זה גם דורש מחברות לוודא שהצדדים השלישיים שלהן מאובטחים, לא רק שהפעילות הפנימית שלהם.
דרישות אלו הופכות תקנה זו לאחת הרחבות והמחמירות ביותר בכל מדינה. עסקים שיפרו אותם עלולים לקבל קנסות גבוהים, אך היקף העונשים המלא עדיין לא ברור.
על מי חלה תקנת אבטחת הסייבר של NYDFS?
תקנת אבטחת הסייבר של NYDFS חל על כל אדם או ישות שצריך רישיון מה-NYDFS. זה מכסה חברות פיננסיות וביטוח בניו יורק, כולל:
- בנקים.
- איגודי אשראי.
- חברות השקעות.
- מלווים מורשים.
- מתווכים במשכנתאות.
- ספקי ביטוח.
- עמותות לחיסכון והלוואות.
ישויות מכוסות אלה כוללות עסקים מקומיים וחברות זרות המורשות לעבוד בניו יורק. לדוגמה, למרות שדויטשה בנק היא חברה גרמנית, עליה לעמוד ב-23 NYCRR Part 500 מאז היא פועלת בניו יורק.
יש כמה חריגים לרשימה זו. חברות עם פחות מ-10 עובדים, פחות מ-5 מיליון דולר בהכנסות שנתיות מניו יורק בשלוש השנים האחרונות, או פחות מ-10 מיליון דולר בסך נכסי סוף השנה פטורות. כך גם עסקים שאינם מאחסנים או מעבדים מידע פרטי, אבל זה לא סביר עבור חברת שירותים פיננסיים.
מה המשמעות של תקנת אבטחת הסייבר עבורך?
אם אתה גר או בנק במדינת ניו יורק, כנראה שהמוסד שלך נופל תחת התקנות הללו. גם אם לא תעשה זאת, תקנת אבטחת הסייבר של NYDFS עדיין יכולה לחול על הבנק שלך. אם יש לה סניף הפועל במדינה ועומד בדרישות הכספיות, הוא יצטרך לעמוד בכך.
כלקוח של הבנק, אינך צריך לנקוט צעדים כלשהם על פי דרישות אלו. עם זאת, ייתכן שתראה כמה שינויים באופן שבו פועל המוסד הפיננסי או המבטח שלך. ייתכן שתצטרך להשתמש בצעדי אבטחה נוספים כמו אימות רב-גורמי (MFA) או להתאים את ההרשאות שלך כחברות אלה לשפר את אמצעי אבטחת הסייבר שלהם.
מסגרת אבטחת הסייבר של NIST, שהיווה השראה לכללים אלה, כולל שיתוף מידע בזמן, מה שעשוי להשפיע עליך. אם יש תקרית בבנק או במבטח שלך, ייתכן שהם יצטרכו להודיע לך. סביר להניח שלא תצטרך לעשות שום דבר בתגובה, אבל אתה יכול לצפות לקבל הודעות מסוג זה.
גם אם אין לך שום חובה משפטית לפי 23 NYCRR Part 500, עדיף להיות זהיר עם המידע הפיננסי שלך. השתמש תמיד בסיסמאות ייחודיות וחזקות, אפשר MFA כשאפשר, ולעולם אל תמסור PII למקור לא ידוע. ההקפדה על תקנות אלה מדגישה עד כמה הנושאים הללו חשובים, לכן יש לנקוט משנה זהירות.
ממשלות לוקחות את אבטחת הסייבר ברצינות רבה יותר
תקנת אבטחת הסייבר של NYDFS היא אחת מדוגמאות רבות לאחרונה של ממשלות מקומיות המוציאות חוקי אבטחת סייבר. ככל שהכלים הדיגיטליים הופכים נפוצים יותר ויותר בחיי היומיום, הכללים הללו רק יגדלו.
צרכנים ועסקים כאחד צריכים להישאר מעודכנים לגבי התקנות הללו כדי לוודא שהם עומדים בדרישות. ייתכן שהשינויים האלה מסבכים את הדברים בהתחלה, אבל הם צעד הכרחי לקראת אבטחה טובה יותר.
חשבונות המדיה החברתית והסמארטפונים שלך אוספים מידע עליך, וסוכנויות ממשלתיות יכולים להשתמש במידע זה. הנה איך ולמה.
קרא הבא
- בִּטָחוֹן
- אבטחת סייבר
- פרטיות מקוונת
- אבטחת מידע
שאנון היא יוצרת תוכן הממוקמת בפילי, פנסילבניה. היא כותבת בתחום הטכנולוגי כ-5 שנים לאחר שסיימה תואר ב-IT. שאנון היא העורכת המנהלת של מגזין ReHack ומסקרת נושאים כמו אבטחת סייבר, משחקים וטכנולוגיה עסקית.
הירשם לניוזלטר שלנו
הצטרף לניוזלטר שלנו לקבלת טיפים טכניים, ביקורות, ספרים אלקטרוניים בחינם ומבצעים בלעדיים!
לחץ כאן כדי להירשם
