Suche

Sprache

Deadline für die Einhaltung der überarbeiteten Datenschutzbestimmungen der FTC

August 9th, 2022

Startseite » Blog » Deadline für die Einhaltung der überarbeiteten Datenschutzbestimmungen der FTC

Am 9. Dezember letzten Jahres, als sich die Welt auf eine weitere Welle von COVID-Infektionen einstellte, geschah bei der Federal Trade Commission (FTC) etwas noch Ernsteres, zumindest in Bezug auf die Cybersicherheit. Nach Jahren der schrittweisen Änderung ihrer Safeguards Rule (offiziell bekannt als „Standards for Safeguarding Customer Information“, eine auf Verbraucherschutz ausgerichtete Verordnung mit Wurzeln im Banking Act von 1933), ließ die FTC leise eine Bombe platzen.

Nachdem ich zuvor Richtlinien dazu bereitgestellt habe Banken von denen erwartet wurde, dass sie Verbraucherinformationen schützen, ging die FTC plötzlich sehr detailliert auf alle Schritte ein, die „Nichtbanken-Finanzinstitute“ unternehmen mussten, um die Vorschriften einzuhalten. Von der Einführung umfangreicher Risikobewertungsprogramme bis hin zur Implementierung von Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung (MFA), legte die FTC nun genau dar, was Unternehmen tun müssen, um Durchsetzungsmaßnahmen zu vermeiden. Es gab auch eine harte Deadline: 9. Dezember 2022 — ein Jahr auf den Tag der veröffentlichten Aktualisierung.

In diesem Beitrag werden die Auswirkungen dieser aktualisierten Regel für Unternehmen untersucht, insbesondere die neuen Sicherheitsanforderungen und die Schritte, die Unternehmen unternehmen müssen.

Inhaltsverzeichnis

  • Was „Nicht-Banking“ bedeutet
  • MFA-Anforderungen der FTC für Compliance
  • Die Bedeutung von MFA überall

    • Was „Nicht-Banking“ bedeutet

    Bevor wir uns mit technischen Details befassen, ist es wichtig zu bedenken, wie breit die Definition von „Nichtbanken-Finanzinstituten“ tatsächlich ist. Die aktualisierte Schutzregel gilt eindeutig für Unternehmen, die ausdrücklich Finanztransaktionen abwickeln: Hypothekengeber, Zahltagdarlehen, Finanzunternehmen, Hypothekenmakler, Kontodienstleister, Scheckeinlöser, Überweisungsunternehmen, Inkassobüros, Kreditberater, Steuerberatungsfirmen, nicht auf Bundesebene versicherte Kreditgenossenschaften und Anlageberater, die sich nicht bei der SEC registrieren müssen.

    Aber die Regel betrifft möglicherweise ein viel breiteres Spektrum von Organisationen, darunter Auto Autohäuser, Immobiliengutachter, Einzelhändler, die ihre eigenen Kreditkarten anbieten, Hochschulen und Universitäten, die an bundesstaatlichen Finanzprogrammen für Studenten teilnehmen, und sogar Berufsberater, die mit Kunden aus der Finanzdienstleistungsbranche zusammenarbeiten. Dies liegt daran, dass jedes Unternehmen, das Tätigkeiten ausübt, die als „finanzieller Natur“ gelten, den neuen Anforderungen der Safeguards Rule unterliegt – insbesondere den von der FTC als „Finder“ bezeichneten Unternehmen, bei denen es sich um Firmen handelt, die Käufer und Verkäufer zusammenbringen, die Transaktion aber nicht wirklich abwickeln.

    Dieses bemerkenswert breite Netz bedeutete, dass viele Unternehmen im Dezember überrascht werden konnten, als sie plötzlich umfangreichen neuen Datenschutzanforderungen ausgesetzt waren, von denen sie nicht einmal wussten, und unerwartet mit Compliance-Problemen konfrontiert wurden.

    MFA-Anforderungen der FTC für Compliance

    Die Bestimmung, welche Organisationen der aktualisierten Sicherheitsvorschrift unterliegen, ist nur die erste Hürde, denn mit der Implementierung der spezifischen Sicherheitskontrollen, die die Richtlinie vorschreibt, beginnt die eigentliche Arbeit.

    1. Hier eine Übersicht über neun Elemente dass die FTC bald verlangen wird:
      Die Benennung einer „qualifizierten Person“ zur Implementierung und Überwachung des Informationssicherheitsprogramms eines Unternehmens.
    2. Risikobewertungen identifizieren genau, welche Kundeninformationen gespeichert werden und wo sie gespeichert werden, und bewerten alle vorhersehbaren Risiken und Bedrohungen für die Sicherheit dieser Daten.
    3. Schutzmaßnahmen zur Minderung identifizierter Risiken, einschließlich der Implementierung von Zugriffskontrollen, der Verschlüsselung von Kundeninformationen und der Implementierung Multi-Faktor-Authentifizierung (MFA).
    4. Kontinuierliche Überwachung der Sicherheitsvorkehrungen, einschließlich systemweiter Scans zum Testen auf Sicherheitslücken.
    5. Obligatorisches Sicherheitsbewusstseinstraining für alle Mitarbeiter, Lieferanten und Auftragnehmer, um die Bereitschaft zu gewährleisten.
    6. Verträge mit Dienstanbietern, die Sicherheitserwartungen und integrierte Möglichkeiten zur Überwachung ihrer Arbeit festlegen.
    7. Regelmäßige Aktualisierungen der Sicherheitsprogramme, damit sie angesichts neu auftretender Bedrohungen und personeller Veränderungen auf dem neuesten Stand bleiben.
    8. Die Erstellung eines schriftlichen Vorfallreaktionsplans im Falle eines Sicherheitsvorfalls, der zu einem unbefugten Zugriff auf oder Missbrauch von Kundendaten führt.
    9. Regelmäßige Berichte werden von der qualifizierten Person erstellt und dem Vorstand (oder Leitungsgremium) des Unternehmens vorgelegt.

    Der hier bereitgestellte Detaillierungsgrad wird dazu beitragen, finanzorientierte Organisationen dazu zu bewegen, gründliche Datensicherheitsprogramme zu implementieren. Doch in gewisser Weise ist die FTC mit ihrem Update nicht weit genug gegangen – insbesondere in Bezug auf MFA.

    Zugegeben, die Agentur nennt einige Kriterien, die MFA-Lösungen erfüllen sollten, darunter einen „Wissensfaktor“ (d. h. ein Passwort), einen „Besitzfaktor“ (d. h. ein Token) und einen „Inhärenzfaktor“ (d. h. ein biometrisches Merkmal). . Jeder große MFA-Anbieter auf dem Markt erfüllt diese problemlos. Es gibt jedoch keine Anleitung dazu, auf welche spezifischen Systeme MFA angewendet werden sollte, und dies ist eine Unterlassung, die Unternehmen in Gefahr bringen könnte.

    Vergleichen Sie dies mit den Anweisungen, die daraus hervorgehen Cyber-Versicherung Unternehmen in diesem Jahr. Um sich für eine Richtlinie zu qualifizieren, müssen Unternehmen nun in der Lage sein, MFA auf cloudbasierte E-Mails, Remote-Netzwerkzugriff sowie internen und Remote-Administratorzugriff auf Verzeichnisdienste, Netzwerk-Backup-Umgebungen und Netzwerkinfrastruktur (wie Firewalls, Router usw.) anzuwenden. und Switches) sowie organisatorische Workstations und Server. Dies liegt daran, dass Cyber-Versicherer mit im Spiel sind und aggressiv versuchen, ihre Rekordschäden aus dem Jahr 2020 einzudämmen (einigen Studien zufolge ein Verhältnis von bis zu 72 %). Die Kluft zwischen dem öffentlichen Sektor und der Privatwirtschaft – das heißt, die breitgefächerten Richtlinien einer Behörde gegenüber dem Erfordernis eines einzelnen Unternehmens, profitabel zu sein – war noch nie größer.

    Die Bedeutung von MFA überall

    Dies führt zu einer einfachen Schlussfolgerung: Die FTC ist bei der Aktualisierung ihrer Safeguards Rule einfach nicht weit genug gegangen, wenn das Ziel ein umfassender Datenschutz für Verbraucher ist. Der Grund dafür ist, dass herkömmliche MFA-Lösungen Unternehmen nicht wirklich vor einem der Hauptvektoren schützen können Ransomware Angriffe – Befehlszeilenzugriff.

    Befehlszeilenzugriffstools wie z PsExec, PowerShell und Windows Management Instrumentation (WMI) werden von IT-Administratoren häufig für den Fernzugriff auf die von ihnen verwalteten Maschinen verwendet. Aber Cyberangreifer nutzen diese Tools auch für schändliche Zwecke, etwa um sich seitlich durch eine Umgebung zu bewegen, nachdem sie Benutzeranmeldeinformationen (normalerweise die eines Administrators) kompromittiert haben. Tatsächlich wurde bei fast jedem Ransomware-Angriff der letzten Zeit genau diese Technik eingesetzt. Dies bedeutet, dass Unternehmen die FTC vollständig einhalten und dennoch mit schwerwiegenden Schwachstellen konfrontiert sein könnten.

    Da herkömmliches MFA nicht auf Befehlszeilentools angewendet werden kann, da die Authentifizierungsprotokolle (Kerberos und NTLM) sie implementieren, unterstützen MFA nicht, stellt dies eine Sicherheitsherausforderung dar. Glücklicherweise gibt es eine Lösung: die Silverfort Vereinigt Identitätsschutz Plattform.

    Silverfort bietet das einzige Produkt auf dem Markt, das eine kontinuierliche Überwachung aller Authentifizierungen für jeden Benutzer, jedes System und jede Umgebung bietet, sowohl vor Ort als auch in der Cloud. Das bedeutet Silverfort kann MFA erzwingen über ein gesamtes IT-Ökosystem, einschließlich jeder einzelnen App, Schnittstelle und Infrastruktur – und bietet genau die Art von ganzheitlichem Schutz von Kundendatenquellen (wo immer sie sich befinden und wie auch immer auf sie zugegriffen wird), die die FTC anstrebt.

    Das sind gute Nachrichten für alle: Finanzinstitute, die keine Banken sind, können sich darauf verlassen, dass ihre Systeme nicht nur FTC-konform, sondern auch absolut sicher sind, während Verbraucher darauf vertrauen können, dass ihre vertraulichen Daten tatsächlich gut geschützt sind.

    Erfahren Sie hier mehr über Silverfort Plattform.Zurück

    Bereit für eine Demo?
    Heute anmelden.

    Kürzliche Posts

    May 6th, 2024

    Verwendung von MITM zur Umgehung des FIDO2-Phishing-Schutzes

    2. Mai 2024

    Silverfort stellt Forschungsergebnisse auf der RSA 2024 vor: Verwendung von MITM zur Umgehung moderner Authentifizierungsmethoden für SSO

    April 24th, 2024

    5 Möglichkeiten, Ihre AD-Hygiene zu verbessern Silverfort  

    March 26th, 2024

    Der Identity Underground Report: Tiefer Einblick in die kritischsten Sicherheitslücken im Identitätsbereich  
    mehr

    Folgen Sie uns

    Stoppen Sie Identitätsbedrohungen jetzt