FTC'nin Yenilenen Veri Koruma Kuralına Uyum İçin Son Tarih Yaklaşıyor

Geçen yıl 9 Aralık'ta dünya başka bir COVID enfeksiyonu dalgasına hazırlanırken, Federal Ticaret Komisyonu'nda (FTC), en azından siber güvenlik açısından çok daha ciddi bir şey oluyordu. Koruma Tedbirleri Kuralını (resmi olarak "Müşteri Bilgilerini Koruma Standartları" olarak bilinir) kademeli olarak değiştirdikten sonra, kökleri 1933 tarihli Bankacılık Yasasına dayanan, tüketicinin korunmasına odaklanan bir düzenleme olan FTC, sessizce bir bomba patlattı.

Daha önce nasıl yapılacağına ilişkin yönergeler sağladıktan sonra bankalar FTC, tüketici bilgilerini koruması beklenirken, "bankacılık dışı finansal kuruluşların" uyum sağlamak için atması gereken tüm adımlar konusunda birdenbire çok ayrıntılı hale geldi. Kapsamlı risk değerlendirme programlarını uygulamaya koymaktan, aşağıdakiler gibi güvenlik önlemlerini uygulamaya kadar: çok faktörlü kimlik doğrulama (MFA), FTC şimdi şirketlerin yaptırım eyleminden kaçınmak için tam olarak ne yapması gerektiğini açıklıyordu. Ayrıca zor bir son tarih vardı: 9 Aralık 2022 — yayınlanan güncellemenin tarihinden itibaren bir yıl.

Bu gönderi, özellikle yeni güvenlik gereksinimlerini ve şirketlerin atması gereken adımları inceleyerek, bu güncellenmiş kuralın işletmeler üzerindeki etkilerini inceliyor.

“Banka Dışı” Ne Demektir?

Teknik ayrıntılara girmeden önce, “bankacılık dışı finansal kuruluşlar” tanımının gerçekte ne kadar geniş olduğunu düşünmek önemlidir. Açıkçası, güncellenmiş Tedbirler Kuralı finansal işlemleri açık bir şekilde yürüten şirketler için geçerlidir: ipotek borç verenleri, avans günü borç verenler, finans şirketleri, ipotek komisyoncuları, hesap hizmetlileri, çek tahsildarları, banka havalesi şirketleri, tahsilat acenteleri, kredi danışmanları, vergi hazırlama firmaları, federal olmayan SEC'e kaydolmak zorunda olmayan sigortalı kredi birlikleri ve yatırım danışmanları.

Ancak kural potansiyel olarak çok daha geniş bir kuruluş yelpazesini etkiler: araba bayilikler, emlak değerleme uzmanları, kendi kredi kartlarını sunan perakendeciler, federal öğrenci mali programlarına katılan kolejler ve üniversiteler ve hatta mali hizmetler endüstrisindeki müşterilerle çalışan kariyer danışmanları. Bunun nedeni, "doğası gereği finansal" olarak değerlendirilen faaliyetlerde bulunan herhangi bir şirketin Koruma Önlemleri Kuralının yeni gereksinimlerine tabi olmasıdır - özellikle FTC'nin "bulucular" olarak adlandırdığı, alıcıları ve satıcıları bir araya getiren ancak aslında işlemi gerçekleştirmeyen firmalardır.

Bu oldukça geniş ağ, birçok şirketin Aralık ayında gafil avlanabileceği, aniden kendilerini farkında bile olmadıkları kapsamlı yeni veri koruma gereksinimlerine tabi bulabileceği ve beklenmedik bir şekilde uyum sorunlarıyla karşı karşıya kalabileceği anlamına gelir.

FTC'nin MFA Uyumluluk Gereksinimleri

Hangi kuruluşların güncellenmiş Koruma Tedbirleri Kuralına tabi olduğunu belirlemek, yalnızca ilk engeldir çünkü direktifin zorunlu kıldığı belirli güvenlik kontrollerini uygulamak gerçek işin başladığı yerdir.

1. İşte genel bir bakış dokuz element FTC'nin yakında şunları gerektireceğini:
   Bir işletmenin bilgi güvenliği programını uygulamak ve denetlemek için “nitelikli bir kişinin” atanması.
2. Risk değerlendirmeleri, tam olarak hangi müşteri bilgilerinin saklandığını ve nerede saklandığını tanımlar ve bu verilerin güvenliğine yönelik öngörülebilir riskleri ve tehditleri değerlendirir.
3. Erişim kontrollerinin uygulanması, müşteri bilgilerinin şifrelenmesi ve uygulanması dahil olmak üzere tanımlanmış riskleri azaltmak için önlemler çok faktörlü kimlik doğrulama (MFA).
4. Güvenlik açıklarını test etmek için sistem çapında taramalar da dahil olmak üzere güvenlik önlemlerinin sürekli izlenmesi.
5. Hazır olmayı sağlamak için tüm çalışanlar, tedarikçiler ve yükleniciler için zorunlu güvenlik farkındalığı eğitimi.
6. Güvenlik beklentilerini açıklayan ve çalışmalarını izlemek için yerleşik yöntemler sunan hizmet sağlayıcılarla sözleşmeler.
7. Ortaya çıkan tehditler ve personel değişiklikleri karşısında güncel kalmaları için güvenlik programlarına yönelik düzenli güncellemeler.
8. Müşteri verilerine yetkisiz erişim veya kötüye kullanımla sonuçlanan bir güvenlik olayı durumunda yazılı bir olay müdahale planının oluşturulması.
9. Düzenli raporlar kalifiye kişi tarafından hazırlanır ve şirketin yönetim kuruluna (veya yönetim organına) sunulur.

Burada sağlanan ayrıntı düzeyi, finansal odaklı kuruluşları kapsamlı veri güvenliği programları uygulamaya teşvik etmede uzun bir yol kat edecektir. Yine de bazı yönlerden, FTC güncellemesiyle yeterince ileri gitmedi - özellikle MFA ile ilgili olarak.

Kabul edilirse, ajans MFA çözümlerinin karşılaması gereken bir "bilgi faktörü" (yani bir parola), bir "sahip olma faktörü" (yani bir belirteç) ve bir "kalıtım faktörü" (yani bir biyometrik özellik) dahil olmak üzere bazı kriterleri açıklamaktadır. . Piyasadaki her büyük MFA sağlayıcısı bunları kolayca karşılar. Ancak MFA'nın hangi belirli sistemlere uygulanması gerektiğine dair bir kılavuz yoktur ve bu, kuruluşları tehlikeli bir şekilde açıkta bırakabilecek bir ihmaldir.

Bunu gelen direktiflerle karşılaştırın. siber sigorta şirketler bu yıl Bir politikaya hak kazanmak için şirketlerin artık MFA'yı bulut tabanlı e-postaya, uzak ağ erişimine ve ayrıca dizin hizmetlerine, ağ yedekleme ortamlarına, ağ altyapısına (güvenlik duvarları, yönlendiriciler gibi) dahili ve uzaktan yönetici erişimine uygulayabilmesi gerekiyor. ve anahtarlar) ve kurumsal iş istasyonları ve sunucular. Bunun nedeni, siber sigortacıların oyunda dış görünümleri olması ve agresif bir şekilde 2020'deki rekor kayıplarını durdurmaya çalışmalarıdır (bazı araştırmalara göre %72'ye varan bir oran). Kamu sektörü ile özel sektör arasındaki uçurum – yani bir kurumun geniş yönergeleri ile bireysel bir şirketin kârlı olma ihtiyacı – hiç bu kadar büyük olmamıştı.

Her Yerde MFA'nın Önemi

Bunun yol açtığı şey basit bir sonuca varıyor: Hedef tüketiciler için kapsamlı veri koruması ise, FTC, Koruma Kuralı güncellemesinde yeterince ileri gitmedi. Bunun nedeni, geleneksel MFA çözümlerinin aslında şirketleri, kullanılan ana vektörlerden birine karşı koruyamamasıdır. fidye saldırılar — komut satırı erişimi.

gibi komut satırı erişim araçları PsExec, PowerShell ve Windows Yönetim Araçları (WMI), BT yöneticileri tarafından yönettikleri makinelere uzaktan erişmek için yaygın olarak kullanılır. Ancak siber saldırganlar, bu araçları, kullanıcı kimlik bilgilerini (genellikle bir yöneticininkiler) ele geçirdikten sonra bir ortamda yanal olarak hareket etmek gibi hain amaçlar için de kullanır. Aslında, son zamanlardaki hemen hemen her fidye yazılımı saldırısında tam olarak bu teknik kullanılmıştır. Bu, şirketlerin hala ciddi güvenlik açıklarıyla karşı karşıya kalırken FTC ile tam uyumlu olabileceği anlamına gelir.

Geleneksel MFA, komut satırı araçlarına uygulanamadığı için, kimlik doğrulama protokolleri (Kerberos ve NTLM) uygularlarsa MFA'yı desteklemezler, bu bir güvenlik sorunu oluşturur. Neyse ki, mevcut bir çözüm var: Silverfort Birleşik Kimlik koruması Platform.

Silverfort hem şirket içi hem de bulutta her kullanıcı, her sistem ve her ortam için tüm kimlik doğrulamalarının sürekli olarak izlenmesini sağlayan piyasadaki tek ürünü sunar. Bunun anlamı Silverfort MFA'yı uygulayabilir her bir uygulama, arayüz ve altyapı parçası da dahil olmak üzere tüm bir BT ekosisteminde - müşteri veri kaynakları için (nerede bulunurlarsa bulunsunlar ve nasıl erişilirlerse erişilsinler) tam olarak FTC'nin gerektirdiği türden bütünsel koruma sağlar.

Bu herkes için iyi bir haber: Bankacılık dışı finans kuruluşları, sistemlerinin yalnızca FTC uyumlu değil, aynı zamanda tamamen güvenli olduğuna güvenirken, tüketiciler de gizli verilerinin gerçekten iyi korunduğuna inanabilir.

Hakkında daha fazla bilgi edinin Silverfort platform.Geri