กำหนดเวลาสำหรับการปฏิบัติตามกฎการปกป้องข้อมูลที่ปรับปรุงใหม่ของ FTC

Silverfort ภาพ
Deadline_Looms_-_Featured_Blog_1234x402px
สารบัญ

แบ่งปันโพสต์นี้:

เมื่อวันที่ 9 ธันวาคมปีที่แล้ว ในขณะที่โลกเตรียมพร้อมรับมือกับการติดเชื้อโควิดระลอกใหม่ มีบางสิ่งที่ร้ายแรงกว่านั้นเกิดขึ้นที่ Federal Trade Commission (FTC) อย่างน้อยก็ในแง่ของความปลอดภัยทางไซเบอร์ หลังจากหลายปีของการแก้ไขกฎการปกป้องที่เพิ่มขึ้นทีละน้อย (รู้จักกันอย่างเป็นทางการในชื่อ “มาตรฐานสำหรับการปกป้องข้อมูลลูกค้า” ซึ่งเป็นกฎระเบียบที่มุ่งเน้นการคุ้มครองผู้บริโภคซึ่งมีรากฐานมาจากพระราชบัญญัติการธนาคารปี 1933) FTC ก็ทิ้งระเบิดอย่างเงียบ ๆ

โดยก่อนหน้านี้ได้ให้แนวทางเกี่ยวกับวิธีการแล้ว ธนาคาร ได้รับการคาดหวังให้ปกป้องข้อมูลผู้บริโภค ทันใดนั้น FTC ก็มีรายละเอียดมากในทุกขั้นตอนที่ “สถาบันการเงินที่ไม่ใช่ธนาคาร” จำเป็นต้องปฏิบัติตาม ตั้งแต่การวางโปรแกรมการประเมินความเสี่ยงที่ครอบคลุมไปจนถึงการนำมาตรการรักษาความปลอดภัยไปใช้ การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA)ขณะนี้ FTC ได้ระบุอย่างชัดเจนถึงสิ่งที่บริษัทจำเป็นต้องทำเพื่อหลีกเลี่ยงการบังคับใช้กฎหมาย นอกจากนี้ยังมีกำหนดเวลาที่ยากลำบาก: 9 ธันวาคม 2022 — หนึ่งปีนับจากวันที่เผยแพร่การอัปเดต

โพสต์นี้จะตรวจสอบผลกระทบของกฎที่อัปเดตนี้สำหรับธุรกิจ โดยเฉพาะการตรวจสอบข้อกำหนดด้านความปลอดภัยใหม่และขั้นตอนที่บริษัทจำเป็นต้องดำเนินการ

“ที่ไม่ใช่ธนาคาร” หมายถึงอะไร

ก่อนที่จะเจาะลึกรายละเอียดทางเทคนิค สิ่งสำคัญคือต้องพิจารณาว่าคำจำกัดความของ "ที่ไม่ใช่ธนาคาร" กว้างแค่ไหน ทางการเงิน สถาบัน” จริงๆ แล้ว กฎการป้องกันที่ปรับปรุงใหม่นั้นใช้กับบริษัทที่จัดการธุรกรรมทางการเงินอย่างชัดเจน ได้แก่ ผู้ให้กู้สินเชื่อที่อยู่อาศัย ผู้ให้กู้เงินรายวัน บริษัทการเงิน นายหน้าสินเชื่อที่อยู่อาศัย ผู้ให้บริการบัญชี ผู้แลกเงินเช็ค บริษัทโอนเงิน บริษัททวงหนี้ ที่ปรึกษาสินเชื่อ บริษัทจัดทำภาษี สหกรณ์เครดิตที่ไม่ได้รับการประกันจากรัฐบาลกลาง และที่ปรึกษาการลงทุนที่ไม่จำเป็นต้องลงทะเบียนกับ SEC

แต่กฎนี้อาจส่งผลกระทบต่อองค์กรในวงกว้างมากขึ้น รวมทั้งด้วย รถ ตัวแทนจำหน่าย ผู้ประเมินราคาอสังหาริมทรัพย์ ผู้ค้าปลีกที่เสนอบัตรเครดิตของตนเอง วิทยาลัยและมหาวิทยาลัยที่เข้าร่วมในโครงการทางการเงินสำหรับนักศึกษาของรัฐบาลกลาง และแม้แต่ที่ปรึกษาด้านอาชีพที่ทำงานร่วมกับลูกค้าในอุตสาหกรรมบริการทางการเงิน เนื่องจากบริษัทใดๆ ที่มีส่วนร่วมในกิจกรรมที่ถือว่าเป็น "ลักษณะทางการเงิน" จะต้องปฏิบัติตามข้อกำหนดใหม่ของกฎการป้องกัน โดยเฉพาะอย่างยิ่งสิ่งที่ FTC เรียกว่า "ผู้ค้นหา" ซึ่งเป็นบริษัทที่รวบรวมผู้ซื้อและผู้ขายเข้าด้วยกัน แต่ไม่ได้จัดการธุรกรรมดังกล่าวจริงๆ

เครือข่ายที่กว้างขวางอย่างน่าทึ่งนี้หมายความว่าหลายบริษัทอาจถูกจับตามองโดยไม่คาดคิดในเดือนธันวาคม จู่ๆ ก็พบว่าตัวเองต้องอยู่ภายใต้ข้อกำหนดการปกป้องข้อมูลใหม่ที่ครอบคลุมซึ่งพวกเขาไม่รู้ด้วยซ้ำและเผชิญกับปัญหาการปฏิบัติตามข้อกำหนดโดยไม่คาดคิด

ข้อกำหนด MFA ของ FTC สำหรับการปฏิบัติตามข้อกำหนด

การพิจารณาว่าองค์กรใดอยู่ภายใต้ Safeguards Rule ที่ปรับปรุงแล้วเป็นเพียงอุปสรรค์แรก เนื่องจากการใช้การควบคุมความปลอดภัยเฉพาะที่คำสั่งกำหนดคือจุดเริ่มต้นของการทำงานจริง

  1. นี่คือภาพรวมของ เก้าองค์ประกอบ ที่ FTC จะกำหนดให้เร็ว ๆ นี้:
    การแต่งตั้ง "บุคคลที่มีคุณสมบัติเหมาะสม" เพื่อดำเนินการและกำกับดูแลโปรแกรมรักษาความปลอดภัยข้อมูลของธุรกิจ
  2. การประเมินความเสี่ยงระบุได้อย่างชัดเจนว่าข้อมูลของลูกค้าใดถูกเก็บไว้ และที่ใดที่จัดเก็บไว้ และประเมินความเสี่ยงและภัยคุกคามที่คาดการณ์ได้ต่อการรักษาความปลอดภัยของข้อมูลนั้น
  3. การป้องกันเพื่อลดความเสี่ยงที่ระบุ รวมถึงการใช้การควบคุมการเข้าถึง การเข้ารหัสข้อมูลลูกค้า และการใช้งาน การตรวจสอบหลายปัจจัย (กฟผ.)
  4. การตรวจสอบการป้องกันอย่างต่อเนื่องรวมถึงการสแกนทั่วทั้งระบบเพื่อทดสอบช่องโหว่ด้านความปลอดภัย
  5. การฝึกอบรมความตระหนักด้านความปลอดภัยที่จำเป็นสำหรับพนักงาน ซัพพลายเออร์ และผู้รับเหมาทุกคนเพื่อให้แน่ใจว่ามีความพร้อม
  6. สัญญากับผู้ให้บริการที่ระบุถึงความคาดหวังด้านความปลอดภัยและวิธีสร้างในการตรวจสอบการทำงานของพวกเขา
  7. การอัปเดตโปรแกรมรักษาความปลอดภัยเป็นประจำเพื่อให้ยังคงเป็นปัจจุบันเมื่อเผชิญกับภัยคุกคามที่เกิดขึ้นใหม่และการเปลี่ยนแปลงบุคลากร
  8. การสร้างแผนการตอบสนองต่อเหตุการณ์ที่เป็นลายลักษณ์อักษรในกรณีของเหตุการณ์ด้านความปลอดภัยที่ส่งผลให้เกิดการเข้าถึงข้อมูลลูกค้าโดยไม่ได้รับอนุญาตหรือในทางที่ผิด
  9. รายงานปกติจัดทำโดยบุคคลที่มีคุณสมบัติเหมาะสมและส่งไปยังคณะกรรมการบริษัท (หรือหน่วยงานกำกับดูแล)

ระดับของรายละเอียดที่ให้ไว้ในที่นี้จะช่วยสนับสนุนองค์กรที่มุ่งเน้นทางการเงินให้นำโปรแกรมรักษาความปลอดภัยข้อมูลไปใช้ได้อย่างเต็มที่ แต่ในบางแง่ FTC ก็ยังพัฒนาไปไม่มากพอสำหรับการอัปเดต — โดยเฉพาะอย่างยิ่งในส่วนที่เกี่ยวข้องกับ MFA

หน่วยงานได้กำหนดเกณฑ์บางประการไว้ว่า โซลูชัน MFA ควรเป็นไปตามนี้ รวมถึงการมี “ปัจจัยความรู้” (เช่น รหัสผ่าน) “ปัจจัยการครอบครอง” (เช่น โทเค็น) และ “ปัจจัยการสืบเนื่อง” (เช่น ลักษณะทางชีวมาตร) ผู้ให้บริการ MFA รายใหญ่ทุกรายในตลาดสามารถปฏิบัติตามสิ่งเหล่านี้ได้อย่างง่ายดาย แต่ไม่มีคำแนะนำว่าควรใช้ MFA กับระบบใดโดยเฉพาะ และการละเว้นนี้อาจทำให้องค์กรเสี่ยงต่ออันตรายได้

เปรียบเทียบกับคำสั่งที่ออกมา ประกันภัยไซเบอร์ บริษัทในปีนี้ เพื่อให้มีคุณสมบัติตามนโยบาย บริษัทต่างๆ จะต้องสามารถใช้ MFA กับอีเมลบนคลาวด์ การเข้าถึงเครือข่ายระยะไกล รวมถึงการเข้าถึงบริการไดเร็กทอรีของผู้ดูแลระบบภายในและระยะไกล สภาพแวดล้อมการสำรองข้อมูลเครือข่าย โครงสร้างพื้นฐานเครือข่าย (เช่น ไฟร์วอลล์ เราเตอร์ และสวิตช์) และเวิร์กสเตชันและเซิร์ฟเวอร์ขององค์กร เนื่องจากบริษัทประกันภัยทางไซเบอร์มีสกินอยู่ในเกม และกำลังพยายามอย่างจริงจังที่จะหยุดยั้งการขาดทุนเป็นประวัติการณ์จากปี 2020 (อัตราส่วนสูงถึง 72% จากการศึกษาบางส่วน). ช่องว่างระหว่างภาครัฐและเอกชน นั่นคือ ชุดแนวทางกว้างๆ ของเอเจนซี่ เทียบกับความต้องการของบริษัทแต่ละแห่งในการทำกำไร - ไม่เคยกว้างขึ้น

ความสำคัญของ MFA ทุกที่

สิ่งนี้นำไปสู่ข้อสรุปง่ายๆ: FTC ไม่ได้ไปไกลเพียงพอในการอัปเดตกฎการป้องกันหากเป้าหมายคือการปกป้องข้อมูลที่ครอบคลุมสำหรับผู้บริโภค เหตุผลก็คือโซลูชัน MFA แบบดั้งเดิมไม่สามารถปกป้องบริษัทจากหนึ่งในพาหะหลักที่ใช้ได้ ransomware การโจมตี — การเข้าถึงบรรทัดคำสั่ง

เครื่องมือการเข้าถึงบรรทัดคำสั่งเช่น PsExec, PowerShell และ Windows Management Instrumentation (WMI) ถูกใช้อย่างกว้างขวางโดยผู้ดูแลระบบไอทีเพื่อเข้าถึงเครื่องที่พวกเขาจัดการจากระยะไกล แต่ผู้โจมตีทางไซเบอร์ยังใช้เครื่องมือเหล่านี้เพื่อจุดประสงค์ที่ชั่วร้าย เช่น เคลื่อนที่ไปด้านข้างผ่านสภาพแวดล้อมเมื่อมี ผู้ใช้ที่ถูกบุกรุก ข้อมูลประจำตัว (โดยปกติจะเป็นของผู้ดูแลระบบ) ในความเป็นจริง การโจมตีด้วยแรนซัมแวร์เกือบทุกครั้งล่าสุดได้ใช้เทคนิคที่แน่นอนนี้ ซึ่งหมายความว่าบริษัทต่างๆ อาจปฏิบัติตาม FTC อย่างสมบูรณ์ในขณะที่ยังคงเผชิญกับช่องโหว่ร้ายแรง

เนื่องจากไม่สามารถใช้ MFA แบบดั้งเดิมกับเครื่องมือบรรทัดคำสั่งได้ เนื่องจากโปรโตคอลการตรวจสอบความถูกต้อง (Kerberos และ NTLM) ที่พวกเขาใช้ไม่รองรับ MFA สิ่งนี้นำเสนอความท้าทายด้านความปลอดภัย โชคดีที่มีวิธีแก้ปัญหา: Silverfort United การป้องกันตัวตน เวที

Silverfort นำเสนอผลิตภัณฑ์เดียวในตลาดที่มีคุณสมบัติการตรวจสอบการพิสูจน์ตัวตนทั้งหมดอย่างต่อเนื่องสำหรับผู้ใช้ทุกคน ทุกระบบ และทุกสภาพแวดล้อม ทั้งภายในองค์กรและในระบบคลาวด์ นั่นหมายความว่า Silverfort สามารถบังคับใช้ MFA ทั่วทั้งระบบนิเวศด้านไอที ซึ่งรวมถึงทุกแอป อินเทอร์เฟซ และชิ้นส่วนของโครงสร้างพื้นฐาน — ให้การปกป้องแบบองค์รวมของแหล่งข้อมูลลูกค้า (ไม่ว่าจะอยู่ที่ใดและไม่ว่าจะเข้าถึงด้วยวิธีใด) ที่ FTC ต้องการ

นี่เป็นข่าวดีสำหรับทุกคน: สถาบันการเงินที่ไม่ใช่ธนาคารสามารถมั่นใจได้ว่าระบบของพวกเขาไม่เพียงแค่สอดคล้องกับ FTC เท่านั้น แต่ยังปลอดภัยอย่างสมบูรณ์ ในขณะที่ผู้บริโภคสามารถเชื่อมั่นได้ว่าข้อมูลที่เป็นความลับของพวกเขาได้รับการปกป้องอย่างดี

เรียนรู้เพิ่มเติมเกี่ยวกับ Silverfort เวที.หลัง

เรากล้าที่จะผลักดันการรักษาความปลอดภัยข้อมูลประจำตัวไปไกลยิ่งขึ้น

ค้นพบสิ่งที่เป็นไปได้

ตั้งค่าการสาธิตเพื่อดู Silverfort แพลตฟอร์มการรักษาความปลอดภัยข้อมูลประจำตัวในการดำเนินการ

รับการสาธิต