ค้นหา

ภาษา

กำหนดเวลาสำหรับการปฏิบัติตามกฎการปกป้องข้อมูลที่ปรับปรุงใหม่ของ FTC

สิงหาคม 9th, 2022

หน้าแรก » บล็อก » กำหนดเวลาสำหรับการปฏิบัติตามกฎการปกป้องข้อมูลที่ปรับปรุงใหม่ของ FTC

เมื่อวันที่ 9 ธันวาคมปีที่แล้ว ในขณะที่โลกเตรียมพร้อมรับมือกับการติดเชื้อโควิดระลอกใหม่ มีบางสิ่งที่ร้ายแรงกว่านั้นเกิดขึ้นที่ Federal Trade Commission (FTC) อย่างน้อยก็ในแง่ของความปลอดภัยทางไซเบอร์ หลังจากหลายปีของการแก้ไขกฎการปกป้องที่เพิ่มขึ้นทีละน้อย (รู้จักกันอย่างเป็นทางการในชื่อ “มาตรฐานสำหรับการปกป้องข้อมูลลูกค้า” ซึ่งเป็นกฎระเบียบที่มุ่งเน้นการคุ้มครองผู้บริโภคซึ่งมีรากฐานมาจากพระราชบัญญัติการธนาคารปี 1933) FTC ก็ทิ้งระเบิดอย่างเงียบ ๆ

โดยก่อนหน้านี้ได้ให้แนวทางเกี่ยวกับวิธีการแล้ว ธนาคาร ได้รับการคาดหวังให้ปกป้องข้อมูลผู้บริโภค ทันใดนั้น FTC ก็มีรายละเอียดมากในทุกขั้นตอนที่ “สถาบันการเงินที่ไม่ใช่ธนาคาร” จำเป็นต้องปฏิบัติตาม ตั้งแต่การวางโปรแกรมการประเมินความเสี่ยงที่ครอบคลุมไปจนถึงการนำมาตรการรักษาความปลอดภัยไปใช้ การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA)ขณะนี้ FTC ได้ระบุอย่างชัดเจนถึงสิ่งที่บริษัทจำเป็นต้องทำเพื่อหลีกเลี่ยงการบังคับใช้กฎหมาย นอกจากนี้ยังมีกำหนดเวลาที่ยากลำบาก: December 9, 2022 — หนึ่งปีนับจากวันที่เผยแพร่การอัปเดต

โพสต์นี้จะตรวจสอบผลกระทบของกฎที่อัปเดตนี้สำหรับธุรกิจ โดยเฉพาะการตรวจสอบข้อกำหนดด้านความปลอดภัยใหม่และขั้นตอนที่บริษัทจำเป็นต้องดำเนินการ

สารบัญ

  • “ที่ไม่ใช่ธนาคาร” หมายถึงอะไร
  • ข้อกำหนด MFA ของ FTC สำหรับการปฏิบัติตามข้อกำหนด
  • ความสำคัญของ MFA ทุกที่

    • “ที่ไม่ใช่ธนาคาร” หมายถึงอะไร

    ก่อนที่จะลงลึกในรายละเอียดทางเทคนิค สิ่งสำคัญคือต้องพิจารณาว่าคำจำกัดความของ "สถาบันการเงินที่ไม่ใช่ธนาคาร" นั้นกว้างเพียงใด เห็นได้ชัดว่า กฎการป้องกันที่อัปเดตใช้กับบริษัทที่จัดการธุรกรรมทางการเงินอย่างชัดเจน: ผู้ให้กู้จำนอง ผู้ให้กู้เงินด่วน บริษัทการเงิน นายหน้าจำนอง ผู้ให้บริการบัญชี แคชเชียร์เช็ค บริษัทโอนเงิน หน่วยงานเรียกเก็บเงิน ที่ปรึกษาสินเชื่อ บริษัทจัดเตรียมภาษี เครดิตยูเนี่ยน ผู้ประกันตน และที่ปรึกษาการลงทุนที่ไม่ต้องขึ้นทะเบียนกับ ก.ล.ต.

    แต่กฎนี้อาจส่งผลกระทบต่อองค์กรในวงกว้างมากขึ้น รวมทั้งด้วย รถ ตัวแทนจำหน่าย ผู้ประเมินราคาอสังหาริมทรัพย์ ผู้ค้าปลีกที่เสนอบัตรเครดิตของตนเอง วิทยาลัยและมหาวิทยาลัยที่เข้าร่วมในโครงการทางการเงินสำหรับนักศึกษาของรัฐบาลกลาง และแม้แต่ที่ปรึกษาด้านอาชีพที่ทำงานร่วมกับลูกค้าในอุตสาหกรรมบริการทางการเงิน เนื่องจากบริษัทใดๆ ที่มีส่วนร่วมในกิจกรรมที่ถือว่าเป็น "ลักษณะทางการเงิน" จะต้องปฏิบัติตามข้อกำหนดใหม่ของกฎการป้องกัน โดยเฉพาะอย่างยิ่งสิ่งที่ FTC เรียกว่า "ผู้ค้นหา" ซึ่งเป็นบริษัทที่รวบรวมผู้ซื้อและผู้ขายเข้าด้วยกัน แต่ไม่ได้จัดการธุรกรรมดังกล่าวจริงๆ

    เครือข่ายที่กว้างขวางอย่างน่าทึ่งนี้หมายความว่าหลายบริษัทอาจถูกจับตามองโดยไม่คาดคิดในเดือนธันวาคม จู่ๆ ก็พบว่าตัวเองต้องอยู่ภายใต้ข้อกำหนดการปกป้องข้อมูลใหม่ที่ครอบคลุมซึ่งพวกเขาไม่รู้ด้วยซ้ำและเผชิญกับปัญหาการปฏิบัติตามข้อกำหนดโดยไม่คาดคิด

    ข้อกำหนด MFA ของ FTC สำหรับการปฏิบัติตามข้อกำหนด

    การพิจารณาว่าองค์กรใดอยู่ภายใต้ Safeguards Rule ที่ปรับปรุงแล้วเป็นเพียงอุปสรรค์แรก เนื่องจากการใช้การควบคุมความปลอดภัยเฉพาะที่คำสั่งกำหนดคือจุดเริ่มต้นของการทำงานจริง

    1. นี่คือภาพรวมของ เก้าองค์ประกอบ ที่ FTC จะกำหนดให้เร็ว ๆ นี้:
      การแต่งตั้ง "บุคคลที่มีคุณสมบัติเหมาะสม" เพื่อดำเนินการและกำกับดูแลโปรแกรมรักษาความปลอดภัยข้อมูลของธุรกิจ
    2. การประเมินความเสี่ยงระบุได้อย่างชัดเจนว่าข้อมูลของลูกค้าใดถูกเก็บไว้ และที่ใดที่จัดเก็บไว้ และประเมินความเสี่ยงและภัยคุกคามที่คาดการณ์ได้ต่อการรักษาความปลอดภัยของข้อมูลนั้น
    3. การป้องกันเพื่อลดความเสี่ยงที่ระบุ รวมถึงการใช้การควบคุมการเข้าถึง การเข้ารหัสข้อมูลลูกค้า และการใช้งาน การตรวจสอบหลายปัจจัย (กฟผ.)
    4. การตรวจสอบการป้องกันอย่างต่อเนื่องรวมถึงการสแกนทั่วทั้งระบบเพื่อทดสอบช่องโหว่ด้านความปลอดภัย
    5. การฝึกอบรมความตระหนักด้านความปลอดภัยที่จำเป็นสำหรับพนักงาน ซัพพลายเออร์ และผู้รับเหมาทุกคนเพื่อให้แน่ใจว่ามีความพร้อม
    6. สัญญากับผู้ให้บริการที่ระบุถึงความคาดหวังด้านความปลอดภัยและวิธีสร้างในการตรวจสอบการทำงานของพวกเขา
    7. การอัปเดตโปรแกรมรักษาความปลอดภัยเป็นประจำเพื่อให้ยังคงเป็นปัจจุบันเมื่อเผชิญกับภัยคุกคามที่เกิดขึ้นใหม่และการเปลี่ยนแปลงบุคลากร
    8. การสร้างแผนการตอบสนองต่อเหตุการณ์ที่เป็นลายลักษณ์อักษรในกรณีของเหตุการณ์ด้านความปลอดภัยที่ส่งผลให้เกิดการเข้าถึงข้อมูลลูกค้าโดยไม่ได้รับอนุญาตหรือในทางที่ผิด
    9. รายงานปกติจัดทำโดยบุคคลที่มีคุณสมบัติเหมาะสมและส่งไปยังคณะกรรมการบริษัท (หรือหน่วยงานกำกับดูแล)

    ระดับของรายละเอียดที่ให้ไว้ในที่นี้จะช่วยสนับสนุนองค์กรที่มุ่งเน้นทางการเงินให้นำโปรแกรมรักษาความปลอดภัยข้อมูลไปใช้ได้อย่างเต็มที่ แต่ในบางแง่ FTC ก็ยังพัฒนาไปไม่มากพอสำหรับการอัปเดต — โดยเฉพาะอย่างยิ่งในส่วนที่เกี่ยวข้องกับ MFA

    จริงอยู่ หน่วยงานกำหนดเกณฑ์บางอย่างที่โซลูชัน MFA ควรเป็นไปตาม รวมถึงการมี “ปัจจัยความรู้” (เช่น รหัสผ่าน) “ปัจจัยความครอบครอง” (เช่น โทเค็น) และ “ปัจจัยโดยกำเนิด” (เช่น ลักษณะทางชีวมาตร) . ผู้ให้บริการ MFA รายใหญ่ทุกรายในตลาดสามารถปฏิบัติตามข้อกำหนดเหล่านี้ได้อย่างง่ายดาย แต่ไม่มีคำแนะนำว่าควรใช้ MFA ระบบใดเป็นพิเศษ และนี่คือการละเว้นที่อาจทำให้องค์กรตกอยู่ในอันตรายได้

    เปรียบเทียบกับคำสั่งที่ออกมา ประกันภัยไซเบอร์ บริษัทในปีนี้ เพื่อให้มีคุณสมบัติตามนโยบาย บริษัทต่างๆ จะต้องสามารถใช้ MFA กับอีเมลบนคลาวด์ การเข้าถึงเครือข่ายระยะไกล รวมถึงการเข้าถึงบริการไดเร็กทอรีของผู้ดูแลระบบภายในและระยะไกล สภาพแวดล้อมการสำรองข้อมูลเครือข่าย โครงสร้างพื้นฐานเครือข่าย (เช่น ไฟร์วอลล์ เราเตอร์ และสวิตช์) และเวิร์กสเตชันและเซิร์ฟเวอร์ขององค์กร เนื่องจากบริษัทประกันภัยทางไซเบอร์มีสกินอยู่ในเกม และกำลังพยายามอย่างจริงจังที่จะหยุดยั้งการขาดทุนเป็นประวัติการณ์จากปี 2020 (อัตราส่วนสูงถึง 72% จากการศึกษาบางส่วน). ช่องว่างระหว่างภาครัฐและเอกชน นั่นคือ ชุดแนวทางกว้างๆ ของเอเจนซี่ เทียบกับความต้องการของบริษัทแต่ละแห่งในการทำกำไร - ไม่เคยกว้างขึ้น

    ความสำคัญของ MFA ทุกที่

    สิ่งนี้นำไปสู่ข้อสรุปง่ายๆ: FTC ไม่ได้ไปไกลเพียงพอในการอัปเดตกฎการป้องกันหากเป้าหมายคือการปกป้องข้อมูลที่ครอบคลุมสำหรับผู้บริโภค เหตุผลก็คือโซลูชัน MFA แบบดั้งเดิมไม่สามารถปกป้องบริษัทจากหนึ่งในพาหะหลักที่ใช้ได้ ransomware การโจมตี — การเข้าถึงบรรทัดคำสั่ง

    เครื่องมือการเข้าถึงบรรทัดคำสั่งเช่น PsExec, PowerShell และ Windows Management Instrumentation (WMI) ถูกใช้อย่างกว้างขวางโดยผู้ดูแลระบบไอทีเพื่อเข้าถึงเครื่องที่พวกเขาจัดการจากระยะไกล แต่ผู้โจมตีทางไซเบอร์ยังใช้เครื่องมือเหล่านี้เพื่อจุดประสงค์ที่ชั่วร้าย เช่น การย้ายข้ามสภาพแวดล้อมไปด้านข้างเมื่อพวกเขาได้บุกรุกข้อมูลรับรองผู้ใช้ (โดยปกติจะเป็นของผู้ดูแลระบบ) ในความเป็นจริง การโจมตีแรนซัมแวร์เกือบทุกครั้งล่าสุดได้ใช้เทคนิคที่แน่นอนนี้ ซึ่งหมายความว่าบริษัทต่างๆ อาจปฏิบัติตาม FTC อย่างสมบูรณ์ในขณะที่ยังคงเผชิญกับช่องโหว่ร้ายแรง

    เนื่องจากไม่สามารถใช้ MFA แบบดั้งเดิมกับเครื่องมือบรรทัดคำสั่งได้ เนื่องจากโปรโตคอลการตรวจสอบความถูกต้อง (Kerberos และ NTLM) ที่พวกเขาใช้ไม่รองรับ MFA สิ่งนี้นำเสนอความท้าทายด้านความปลอดภัย โชคดีที่มีวิธีแก้ปัญหา: Silverfort พร้อมใจกัน การป้องกันตัวตน เวที

    Silverfort นำเสนอผลิตภัณฑ์เดียวในตลาดที่มีคุณสมบัติการตรวจสอบการพิสูจน์ตัวตนทั้งหมดอย่างต่อเนื่องสำหรับผู้ใช้ทุกคน ทุกระบบ และทุกสภาพแวดล้อม ทั้งภายในองค์กรและในระบบคลาวด์ นั่นหมายความว่า Silverfort สามารถบังคับใช้ MFA ทั่วทั้งระบบนิเวศด้านไอที ซึ่งรวมถึงทุกแอป อินเทอร์เฟซ และชิ้นส่วนของโครงสร้างพื้นฐาน — ให้การปกป้องแบบองค์รวมของแหล่งข้อมูลลูกค้า (ไม่ว่าจะอยู่ที่ใดและไม่ว่าจะเข้าถึงด้วยวิธีใด) ที่ FTC ต้องการ

    นี่เป็นข่าวดีสำหรับทุกคน: สถาบันการเงินที่ไม่ใช่ธนาคารสามารถมั่นใจได้ว่าระบบของพวกเขาไม่เพียงแค่สอดคล้องกับ FTC เท่านั้น แต่ยังปลอดภัยอย่างสมบูรณ์ ในขณะที่ผู้บริโภคสามารถเชื่อมั่นได้ว่าข้อมูลที่เป็นความลับของพวกเขาได้รับการปกป้องอย่างดี

    เรียนรู้เพิ่มเติมเกี่ยวกับ Silverfort เวที.หลัง

    พร้อมสำหรับการสาธิต?
    ลงทะเบียนวันนี้

    โพสต์ล่าสุด

    พฤษภาคม 2nd ฮิต

    Silverfort เตรียมเปิดตัวการวิจัยที่ RSA 2024: การใช้ MITM เพื่อหลีกเลี่ยงวิธีการรับรองความถูกต้องสมัยใหม่ไปยัง SSO

    เมษายน 24th, 2024

    5 วิธีในการเพิ่มสุขอนามัย AD ของคุณด้วย Silverfort  

    มีนาคม 26th, 2024

    รายงาน Identity Underground: ข้อมูลเชิงลึกเกี่ยวกับช่องว่างด้านความปลอดภัยของข้อมูลประจำตัวที่สำคัญที่สุด  

    มีนาคม 2nd, 2024

    การป้องกัน MFA สำหรับเครือข่าย Air-Gapped
    ดูเพิ่มเติม

    ช่องทางการติดต่อ

    หยุดการคุกคามตัวตนเดี๋ยวนี้