Pesquisar

Língua

O prazo se aproxima para conformidade com a regra renovada de proteção de dados da FTC

Agosto 9th, 2022

Início » Blog » O prazo se aproxima para conformidade com a regra renovada de proteção de dados da FTC

No dia 9 de Dezembro do ano passado, enquanto o mundo se preparava para outra onda de infecções por COVID, algo ainda mais grave estava a acontecer na Comissão Federal de Comércio (FTC), pelo menos em termos de segurança cibernética. Depois de anos a alterar gradualmente a sua Regra de Salvaguardas (oficialmente conhecida como “Normas para a Proteção das Informações do Cliente”, um regulamento centrado na proteção do consumidor com raízes na Lei Bancária de 1933), a FTC lançou silenciosamente uma bomba.

Tendo previamente fornecido orientações sobre como bancos esperava-se que protegessem as informações do consumidor, a FTC de repente tornou-se muito granular em todas as etapas que as “instituições financeiras não bancárias” precisavam tomar para cumprir. Desde a implementação de programas extensivos de avaliação de riscos até a implementação de medidas de segurança como autenticação multifator (MFA), a FTC explicava agora exactamente o que as empresas precisavam de fazer para evitar medidas coercivas. Também havia um prazo difícil: 9 de dezembro de 2022 — um ano a contar da data da atualização publicada.

Esta postagem examina as implicações desta regra atualizada para as empresas, examinando especificamente os novos requisitos de segurança e as medidas que as empresas precisam tomar.

Índice analítico

  • O que significa “não bancário”
  • Requisitos de MFA da FTC para conformidade
  • A importância do MFA em todos os lugares

    • O que significa “não bancário”

    Antes de mergulhar em detalhes técnicos, é importante considerar quão ampla é realmente a definição de “instituições financeiras não bancárias”. Claramente, a Regra de Salvaguardas atualizada se aplica a empresas que lidam explicitamente com transações financeiras: credores hipotecários, credores consignados, empresas financeiras, corretores de hipotecas, gestores de contas, caixas de cheques, empresas de transferência eletrônica, agências de cobrança, consultores de crédito, empresas de preparação de impostos, empresas não federais. cooperativas de crédito seguradas e consultores de investimentos que não precisam se registrar na SEC.

    Mas a regra afeta potencialmente uma gama muito mais ampla de organizações, incluindo carro concessionárias, avaliadores imobiliários, varejistas que oferecem seus próprios cartões de crédito, faculdades e universidades que participam de programas financeiros estudantis federais e até mesmo conselheiros de carreira que trabalham com clientes do setor de serviços financeiros. Isto ocorre porque qualquer empresa envolvida em atividades consideradas de “natureza financeira” está sujeita aos novos requisitos da Regra de Salvaguardas – particularmente o que a FTC chama de “descobridores”, que são empresas que reúnem compradores e vendedores, mas na verdade não lidam com a transação.

    Esta rede extraordinariamente ampla significa que muitas empresas poderão ser apanhadas de surpresa em dezembro, encontrando-se subitamente sujeitas a novos e extensos requisitos de proteção de dados dos quais nem sequer tinham conhecimento e enfrentando inesperadamente problemas de conformidade.

    Requisitos de MFA da FTC para conformidade

    Determinar quais organizações estão sujeitas à Regra de Salvaguardas atualizada é apenas o primeiro obstáculo, porque a implementação dos controles de segurança específicos ditados pela diretiva é onde o verdadeiro trabalho começa.

    1. Aqui está uma visão geral nove elementos que a FTC exigirá em breve:
      A designação de um “indivíduo qualificado” para implementar e supervisionar o programa de segurança da informação de uma empresa.
    2. As avaliações de risco identificam exatamente quais informações do cliente estão armazenadas e onde estão armazenadas, e avaliam quaisquer riscos e ameaças previsíveis à segurança desses dados.
    3. Salvaguardas para mitigar riscos identificados, incluindo implementação de controles de acesso, criptografia de informações de clientes e implementação Autenticação multifatorial (MFA).
    4. Monitoramento contínuo de salvaguardas, incluindo varreduras em todo o sistema para testar vulnerabilidades de segurança.
    5. Treinamento obrigatório de conscientização de segurança para todos os funcionários, fornecedores e contratados para garantir a prontidão.
    6. Contratos com prestadores de serviços que especificam as expectativas de segurança e incorporam formas de monitorar seu trabalho.
    7. Atualizações regulares dos programas de segurança para que permaneçam atualizados diante de ameaças emergentes e mudanças de pessoal.
    8. A criação de um plano escrito de resposta a incidentes no caso de um evento de segurança que resulte em acesso não autorizado ou uso indevido de dados do cliente.
    9. Relatórios regulares são preparados por pessoa qualificada e submetidos ao conselho de administração (ou órgão de administração) da empresa.

    O nível de detalhe fornecido aqui contribuirá muito para estimular as organizações com orientação financeira a implementarem programas completos de segurança de dados. No entanto, em alguns aspectos, a FTC não foi suficientemente longe na sua actualização – especialmente no que diz respeito ao MFA.

    É verdade que a agência enuncia alguns critérios que as soluções de MFA devem cumprir, incluindo ter um “fator de conhecimento” (ou seja, uma senha), um “fator de posse” (ou seja, um token) e um “fator de inerência” (ou seja, uma característica biométrica). . Todos os principais fornecedores de MFA do mercado atendem a isso facilmente. Mas não há orientação sobre quais sistemas específicos a AMF deve ser aplicada, e esta é uma omissão que pode deixar as organizações perigosamente expostas.

    Compare isto com as directivas que saíram do seguro cibernético empresas este ano. Para se qualificarem para uma política, as empresas agora precisam ser capazes de aplicar MFA a e-mail baseado em nuvem, acesso remoto à rede, bem como acesso administrativo interno e remoto a serviços de diretório, ambientes de backup de rede, infraestrutura de rede (como firewalls, roteadores, e switches) e estações de trabalho e servidores organizacionais. Isso ocorre porque as seguradoras cibernéticas estão no jogo e estão tentando agressivamente conter suas perdas recordes de 2020 (uma proporção de até 72%, de acordo com alguns estudos). A lacuna entre o sector público e o privado – isto é, o amplo conjunto de directrizes de uma agência versus a necessidade de uma empresa individual ser rentável – nunca foi tão grande.

    A importância do MFA em todos os lugares

    Isto leva a uma conclusão simples: a FTC simplesmente não foi longe o suficiente na atualização da sua Regra de Salvaguardas se o objetivo for a proteção abrangente de dados para os consumidores. A razão é que as soluções tradicionais de AMF não conseguem proteger efectivamente as empresas contra um dos principais vectores utilizados na ransomware ataques – acesso à linha de comando.

    Ferramentas de acesso de linha de comando, como PsExec, PowerShell e Windows Management Instrumentation (WMI) são amplamente usados ​​por administradores de TI para acessar remotamente as máquinas que gerenciam. Mas os ciberataques também usam essas ferramentas para fins nefastos, como mover-se lateralmente em um ambiente depois de comprometerem as credenciais do usuário (geralmente as de um administrador). Na verdade, quase todos os ataques recentes de ransomware empregaram exatamente essa técnica. Isto significa que as empresas podem estar em total conformidade com a FTC, ao mesmo tempo que enfrentam vulnerabilidades graves.

    Como o MFA tradicional não pode ser aplicado a ferramentas de linha de comando, uma vez que os protocolos de autenticação (Kerberos e NTLM) que implementam não suportam MFA, isto representa um desafio de segurança. Felizmente, existe uma solução disponível: o Silverfort Unido Proteção de identidade Plataforma.

    Silverfort oferece o único produto no mercado que apresenta monitoramento contínuo de todas as autenticações para cada usuário, cada sistema e cada ambiente, tanto no local quanto na nuvem. Que significa Silverfort pode aplicar MFA em todo um ecossistema de TI, incluindo cada aplicativo, interface e peça de infraestrutura — fornecendo exatamente o tipo de proteção holística das fontes de dados do cliente (onde quer que residam e como são acessadas) que a FTC deseja exigir.

    Esta é uma boa notícia para todos: as instituições financeiras não bancárias podem ter confiança de que os seus sistemas não são apenas compatíveis com a FTC, mas também totalmente seguros, enquanto os consumidores podem ter fé que os seus dados confidenciais estão de facto bem protegidos.

    Saiba mais sobre o Silverfort plataforma.Voltar

    Pronto para uma demonstração?
    Inscreva-se hoje.

    Postagens recentes

    6 de maio de 2024

    Usando MITM para contornar a proteção resistente a phishing FIDO2

    2 de maio de 2024

    Silverfort revelará pesquisa na RSA 2024: usando MITM para ignorar métodos modernos de autenticação para SSO

    24 de abril de 2024

    5 maneiras de melhorar sua higiene AD com Silverfort  

    Março 26th, 2024

    The Identity Underground Report: uma visão aprofundada das lacunas de segurança de identidade mais críticas  
    Ver mais

    Siga-nos

    Pare as ameaças à identidade agora