美国纽约推行新金融条例,金融机构须部署网络安全计划
发布日期:2017-03-06美国时间3月1日,纽约州的新金融条例将生效,要求所有受监管的金融服务机构将网络安全计划部署到位,任命首席信息安全官,并监控商业伙伴的网络安全政策。
这似乎显得有点仓促,因为新条例一个月以前才完成。Prevalent的第三方战略高级总监布拉德·凯勒表示,“新条例有一个过渡期。每个人有六个月的时间履行合规。”
布拉德·凯勒补充道,之后每年的2月15日会进行实际认证。也就是说,每年的2月15日,每家银行、保险公司或其它受监管的金融服务公司必须提交声明,证明已经审核了所有必需的文件和报告,包括外部厂商的文件和报告,也就是证明其网络安全计划符合新条例要求。
企业首先要做的就是进行综合风险评估,因为这是决定如何应对先前许多条例的起点。
布拉德·凯勒表示,例如,企业必须决定将如何根据风险评估中的结果部署加密。企业需要有力的文件证明当前的做法。企业还必须证明经历的过程。
拥有成熟网络安全程序的大型企业也许已经具有满足新条例的部署,只需要进行审查,并进行融合。其它公司可能要有所准备。
布拉德·凯勒表示,“远程访问攻击可能是攻击者使用手段跨过界限,横向活动,并窃取数据,正如Target遭遇的黑客事件。”
Lastline的产品和业务开发副总裁Brian Laing表示,联邦金融机构审查委员会(Federal Financial Institutions Examination Council)2011年更新了防止银行欺诈的指南,其中一个章节明确提到风险评估。
Laing表示,大多数金融机构已经部署了该条例规定的许多保障措施和政策。
纽约只是开始个别州造成的影响巨大,其影响远远超出本州,例如加利福利亚州制定了汽车排放和数据泄露通知标准。
首先,州和国家会看其它州和国家的行动,如果某些方式在其它地方奏效,他们可能会如法炮制。
安全厂商CipherCloud的营销副总裁Willy Leichter表示,我们看到其它许多法规。加利福利亚州实施了第一个数据泄露通知法,之后其它州迅速复制。
安全厂商InfoArmor的首席技术官和首席战略官Christian Lees指出,纽约提议的规则很可能成为新的行业标准。
当然,许多企业的业务跨多个管辖范围。作为全球的金融中心,纽约吸引了全美、全世界的企业。
Reed Smith LLP隐私与网络法的合作伙伴Gerry Stegmaier表示,为了让自己更加轻松,企业不会试图在不同的管辖范围部署不同的流程。他指出,企业将根据最严格的要求衡量其合规性。
例如,某些州要求发生数据泄露事件时通知州司法部长,而有些州没有这样做。企业也许只是决定通知到每个人。Stegmaier指出,要求最严格的州将掌握方向。但是,如果某管辖范围与另一管辖范围的规则冲突,那么可能会产生问题。例如,美国证监会(SEC)要求保留记录,以此保护消费者,与此同时,欧盟居民有“被遗忘权。”这类事件将需要通过外交渠道解决。在执行之前,企业将需要制定明智的决策。从字面上讲,企业被迫进行所罗门式的审判,因为不能同时遵守两个法律。
《一般数据保护条例》(General Data Protection Regulation)明年将在欧洲生效,这也可能带来一些挑战。
Stegmaier表示,到时候可能会需要时间解决另外的问题。我们所看到的就是,法律要求和最佳做法之间存在冲突。如果最佳做法就是法律要求,那么最佳做法到底是什么。只是因为Bruce Schneier或纽约司法部长办公室有人说是最佳做法,果真如此吗?
相关资讯:
2016年,从事安全基准评估的初创企业SecurityScorecard对全球范围内的7111家涉及金融行业的公司和企业进行了网络安全调查评估,进行此次调查的目的是为了找出金融公司的网络...
根据波兰媒体报道,上周多家波兰银行着手调查黑客入侵活动,而这批黑客在过去三个月中已经入侵了波兰多家金融机构。
例如,针对数据保护的《电子通讯隐私法》、面向金融机构的《金融服务现代化法案》、以及保护健康隐私的《健康保险携带和责任法》。另外,由于立法总是呈现...