מדינת ניו-יורק מהדקת את הגנת הסייבר. כזכור, תקנות הגנת הסייבר נכנסו לתוקף במרץ 2017 במדינת ניו-יורק. מדובר היה בצעד חדשני של מדינת ניו-יורק בכל הנוגע למוסדות הפיננסים, שכן לראשונה נדרשו המוסדות לעמוד בכללים הנוגעים להגנה מפני מתקפות סייבר, כמו למשל מיפוי סיכוני תקיפות סייבר, איתור ניסיונות תקיפות סייבר, יישום נהלים פנימיים שמטרתם להגביר את הגנת המוסדות מפני סיכוני פריצות הסייבר וכן נהלים שיסדירו את אופן הטיפול בעת תקיפות הסייבר.
לאחרונה (28.02.2023) המחלקה לשירותים פיננסים במדינת ניו-יורק (DFS), אשר משמשת כרגולטור למוסדות פיננסים, פרסמה לאחרונה להערת הציבור את הטיוטה השנייה והמעודכנת לתיקון תקנות אבטחת הסייבר שלה.
השינויים המרכזיים אשר באים לידי ביטוי בטיוטה המעודכנת נוגעים לדרישת הארגונים לנקוט באמצעי הבקרה הדרושים לצורך הגנת הסייבר. אותם שינויים מרכזיים כוללים, בין היתר, את השינויים שלהלן:
- סיווג חדש למוסדות פיננסים גדולים בעלי מחזור עסקי הגבוה מ-20 מיליארד דולר, או מוסדות כספיים המעסיקים למעלה מ-2,000 עובדים. מוסדות העונים על תנאי זה יהיו כפופים לדרישות מחמירות יותר, כמו ביקורת אבטחת מידע שנתית שתבוצע על ידי גורם בלתי תלוי, יישום אמצעי ניהול הרשאות גישה לרבות הטמעת כלי המונע שימוש בסיסמאות פופולריות ועוד.
- קצין אבטחת המידע שימונה במוסד הפיננסי יידרש לעמוד בחובות דיווח שונות אשר נוגעות להתפתחויות מהותיות הנוגעות לנושא ההגנה מפני תקיפות סייבר. במסגרת זו, קצין האבטחה יידרש לפתח את הבנתו בתחום הסייבר, על מנת שיוכל לפקח על הארגון באפקטיביות על פעילות הארגון ולנהל את סיכוני תקיפות הסייבר.
- הרחבת אמצעי אבטחת מערכות מחשוב, כמו הרחבת חובת השימוש בקוד אימות דו שלבי, שימוש בסיסמאות חזקות, הצפנת נתונים ושימוש בשירותי ענן מאובטחים. זאת במטרה להגן על נתוני המידע אודות לקוחות הארגון.
- על תוכניות לתגובה בזמן אירועי תקיפות סייבר לכלול צעדים קונקרטיים לטיפול, ביניהם איתור התקיפה, הגבלת הנזק והגנה על נכסים דיגיטליים שבבעלות המוסד הפיננסי.
- העברת הכשרות לעובדים בנושאי סייבר במטרה לזהות ולדווח על מתקפות או ניסיונות. זאת לצורך זיהוי התקיפה וכן לצורך יכולת תגובה מטעם העובדים בארגון.
- התייחסות לעניין תשלום הכופרה. במסגרת זו, הטיוטה קובעת כי במידה והארגון נדרש לשלם תשלום כופרה, עליו לדווח בתוך 24 שעות ממועד התשלום. לאחר דיווח ראשוני זה, על הארגון להגיש ל- DFS דו"ח שבו ינמק את סיבת התשלום, לרבות ניתוח השיקולים ששקל הארגון לצורך קבלת ההחלטה, והסבר הנוגע לבדיקות הנאותות שביצע הארגון ביחס לציות לחוקים ולתקנות החלים על תשלומי הכופרה.
לסיכומו של דבר, השינויים של ה- DFS נועדו להבטיח שהתקנות אשר חלות על מוסדות פיננסים במדינית ניו-יורק יהיו אפקטיביות יותר, וכל זאת במטרה להגן אל נכסיהם הדיגיטליים של לקוחות הארגונים. הטיוטה פתוחה להערות הציבור עד ליום 14.08.2022.
