18 במאי 2024 22:20

ניו-יורק: צעד נוסף לעבר תיקון תקנות הגנת הסייבר החלים על גופים פיננסים

מדינת ניו-יורק מהדקת את הגנת הסייבר. כזכור, תקנות הגנת הסייבר נכנסו לתוקף במרץ 2017 במדינת ניו-יורק. מדובר היה בצעד חדשני של מדינת ניו-יורק בכל הנוגע למוסדות הפיננסים, שכן לראשונה נדרשו המוסדות לעמוד בכללים הנוגעים להגנה מפני מתקפות סייבר, כמו למשל מיפוי סיכוני תקיפות סייבר, איתור ניסיונות תקיפות סייבר, יישום נהלים פנימיים שמטרתם להגביר את הגנת המוסדות מפני סיכוני פריצות הסייבר וכן נהלים שיסדירו את אופן הטיפול בעת תקיפות הסייבר.

לאחרונה (28.02.2023) המחלקה לשירותים פיננסים במדינת ניו-יורק (DFS), אשר משמשת כרגולטור למוסדות פיננסים, פרסמה לאחרונה להערת הציבור את הטיוטה השנייה והמעודכנת לתיקון תקנות אבטחת הסייבר שלה.

השינויים המרכזיים אשר באים לידי ביטוי בטיוטה המעודכנת נוגעים לדרישת הארגונים לנקוט באמצעי הבקרה הדרושים לצורך הגנת הסייבר. אותם שינויים מרכזיים כוללים, בין היתר, את השינויים שלהלן:

  • סיווג חדש למוסדות פיננסים גדולים בעלי מחזור עסקי הגבוה מ-20 מיליארד דולר, או מוסדות כספיים המעסיקים למעלה מ-2,000 עובדים. מוסדות העונים על תנאי זה יהיו כפופים לדרישות מחמירות יותר, כמו ביקורת אבטחת מידע שנתית שתבוצע על ידי גורם בלתי תלוי, יישום אמצעי ניהול הרשאות גישה לרבות הטמעת כלי המונע שימוש בסיסמאות פופולריות ועוד.
  • קצין אבטחת המידע שימונה במוסד הפיננסי יידרש לעמוד בחובות דיווח שונות אשר נוגעות להתפתחויות מהותיות הנוגעות לנושא ההגנה מפני תקיפות סייבר. במסגרת זו, קצין האבטחה יידרש לפתח את הבנתו בתחום הסייבר, על מנת שיוכל לפקח על הארגון באפקטיביות על פעילות הארגון ולנהל את סיכוני תקיפות הסייבר.
  • הרחבת אמצעי אבטחת מערכות מחשוב, כמו הרחבת חובת השימוש בקוד אימות דו שלבי, שימוש בסיסמאות חזקות, הצפנת נתונים ושימוש בשירותי ענן מאובטחים. זאת במטרה להגן על נתוני המידע אודות לקוחות הארגון.
  • על תוכניות לתגובה בזמן אירועי תקיפות סייבר לכלול צעדים קונקרטיים לטיפול, ביניהם איתור התקיפה, הגבלת הנזק והגנה על נכסים דיגיטליים שבבעלות המוסד הפיננסי.
  • העברת הכשרות לעובדים בנושאי סייבר במטרה לזהות ולדווח על מתקפות או ניסיונות. זאת לצורך זיהוי התקיפה וכן לצורך יכולת תגובה מטעם העובדים בארגון.
  • התייחסות לעניין תשלום הכופרה. במסגרת זו, הטיוטה קובעת כי במידה והארגון נדרש לשלם תשלום כופרה, עליו לדווח בתוך 24 שעות ממועד התשלום. לאחר דיווח ראשוני זה, על הארגון להגיש ל- DFS דו"ח שבו ינמק את סיבת התשלום, לרבות ניתוח השיקולים ששקל הארגון לצורך קבלת ההחלטה, והסבר הנוגע לבדיקות הנאותות שביצע הארגון ביחס לציות לחוקים ולתקנות החלים על תשלומי הכופרה.

לסיכומו של דבר, השינויים של ה- DFS נועדו להבטיח שהתקנות אשר חלות על מוסדות פיננסים במדינית ניו-יורק יהיו אפקטיביות יותר, וכל זאת במטרה להגן אל נכסיהם הדיגיטליים של לקוחות הארגונים. הטיוטה פתוחה להערות הציבור עד ליום 14.08.2022.

שתפו את הפוסט:

Facebook
Twitter
LinkedIn

דירוג האיכות של Dun's 100 לשנת 2024: משרד דן חי ושות' דורג שוב בקבוצת האיכות הראשונה בתחום הסייבר

דירוג האיכות של מדריך dun’s 100 פרסם את דירוג משרדי עורכי הדין לשנת 2024. בתחום הסייבר המדריך דירג, את משרד דן חי ושות', שוב, תחת ...

הרשות להגנת הפרטיות פרסמה גילוי דעת בנושא איסוף מספרי תעודות זהות וצילום תעודות זהות

בעת האחרונה ישנה מגמה גוברת של בתי עסק הדורשים מהלקוח למסור מספר תעודת זהות לצורך מתן שירות, ולעיתים אף דורשים למסור צילום של תעודת הזהות ...

טיוטת מסמך מדיניות חדשה בנושא איסוף ושימוש במידע ביומטרי במקום העבודה

על רקע המגמה הגוברת בשימוש טכנולוגיות לזיהוי ביומטרי אשר נעשה על ידי ארגונים לצרכי בקרת נוכחות עובדיהם, הרשות להגנת הפרטיות פרסמה לאחרונה (15.02.2024) מסמך מדיניות ...

באירופה עובדים. ה-AI ACT אושר.

מאת : צוות דן חי הפרלמנט האירופי אישר (13.03.2024) את תקנות הבינה המלאכותית (AI ACT). המדובר בחקיקה הראשונה מסוגה בעולם ובאה להסדיר את הפיתוח ההפעלה ...
דילוג לתוכן