40camp logo

Zmiany w regulacjach dotyczących cyberbezpieczeństwa, o których globalne serwisy finansowe muszą wiedzieć

Cyberataki osiągnęły status globalnej epidemii. Cyberprzestępcy obierają sobie za cele organizacje, infrastrukturę krytyczną oraz rządy na całym świecie. a ataki są niezwykle wyrafinowane w swej formie i zawsze przeprowadzane w najdogodniejszym dla przestępców czasie.

Ataki przeprowadzone za pomocą oprogramowania wymuszającego okup, takiego jak Petya czy Wanna Cry, spowodowały wstrzymanie funkcji krytycznych w różnych częściach świata tego lata a ostatni atak naruszający dane osobowe klientów agencji kredytowej Equifax, dotknął aż 143 milionów Amerykanów. Zakładając, że tego typu ataki będą się utrzymywać na podobnym poziomie, szacuje się, że szkody wywołane cyberprzemocą osiągną rząd wielkości 6 bilionów dolarów rocznie w skali światowej do roku 2021.

Tym, co napędza działanie cyberprzestępców są zdecydowanie korzyści pieniężne. W przypadku ataków przy użyciu oprogramowania wymuszającego okup, przestępcy obierają sobie za cel infrastrukturę krytyczną czy też organizacje opieki zdrowotnej i działają na zasadzie: dysponujemy ich danymi osobowymi, dopóki nie dostaniemy odpowiedniej kwoty pieniędzy. Inny rodzaj cyberataków opiera się na wejściu w posiadanie informacji umożliwiających identyfikację konsumentów, takich jak rejestry finansowe. Informacje te mogą być później odsprzedane w internetowym podziemiu, celem osiągnięcia zysku, a następnie użyte w przypadkach gdy należy dokonać identyfikacji w celu kradzieży, wyłudzeń podatkowych i tym podobnych. Kradzież tego rodzaju informacji ma długotrwałe efekty, jako że nie łatwo jest zmienić dane osobowe, jak również nie łatwo jest namierzyć nadużycie wynikające z takiego wymuszenia danych.

Jako że tego typu ataki i wymuszenia nieustannie mają miejsce, przedstawiciele rządów na całym świecie świadomi są, że współczesne cyberataki mogą dotknąć absolutnie każdego i nadal wiele pozostaje do zrobienia celem ochrony zasobów o krytycznym znaczeniu i sektorów rynku. Mając to na względzie, w krajach Europejskich, w Azji, Wielkiej Brytanii i Stanach Zjednoczonych wprowadza się nowe akty prawne celem zapewnienia właściwych środków bezpieczeństwa, służących do ochronny tych jakże cennych danych.

Najnowsze przepisy regulujące Cyberbezpieczeństwo

Działające globalnie firmy świadczące usługi finansowe muszą mieć na względzie najnowsze przepisy regulujące cyberbepieczeństwo i to jak wpływają one na ich działalność, co odbywa się zazwyczaj poprzez pilotowanie zasad dotyczących danych i prowadzenia swoich działań w zgodzie z nimi, co jest szczególnie istotne w przypadku, gdy firmy te prowadzą swoją działalność za granicą. Zgodność z tymi zasadami jest niezwykle ważna, jako że niestosowanie się do owych przepisów zazwyczaj obejmuje ogromne kary pieniężne.

Poniżej przedstawione są niektóre z ostatnio wprowadzonych lub proponowanych regulacji dotyczących cyberbezpieczeństwa, które będą miały niewątpliwy wpływ na firmy świadczące usługi finansowe:

Chiny
Chińskie prawo związane z bezpieczeństwem cybernetycznym obowiązuje od 1 czerwca 2017. Wprowadzając te regulacje rząd chiński ma w zamierzeniu lepsze dostosowanie się do aktualnych standardów globalnego cyberbezpieczeństwa poprzez nakładanie dodatkowych wymagań na bezpieczeństwo sieci. Prawo to będzie miało bezpośredni wpływ na sektor usług finansowych, jako że uważany on jest za krytyczną infrastrukturę teleinformatyczną.

Pojęcie to odnosi się do sektorów, w których naruszenie danych osobowych miałoby znaczący wpływ na bezpieczeństwo narodowe lub publiczne dobro społeczne. Zgodnie z zasadami prawa, dotyczącymi bezpieczeństwa cybernetycznego, podmioty wchodzące w skład krytycznej infrastruktury teleinformatycznej zobowiązane są do udostępniania danych na prośbę władz. Firmy świadczące usługi finansowe będą musiały również wykazać, że ich infrastruktura informatyczna zgodna jest z określonymi specyfikacjami i może pomyślnie przejść standardowe testy i proces certyfikacji w zakresie bezpieczeństwa cybernetycznego. Co więcej, dane zgromadzone w Chinach dotyczące ich mieszkańców muszą być przechowywane na serwerach znajdujących się na terytorium kraju i nie mogą być przekazywane za granicę bez zezwolenia. Brak zastosowania się do tych zasad może skutkować postawieniem zarzutów karnych oraz nałożeniem kar pieniężnych w wysokości do 1 miliona yuan`ów lub nieco ponad 150 tys. dolarów amerykańskich.

Instytucje świadczące usługi finansowe, które prowadzą swoje interesy w Chinach zobowiązane są do przestrzegania i wprowadzenia niezbędnych środków celem zapewnienia cyberbezpieczeństwa, jak również do przestrzegania środków kontroli i ograniczeń, jakimi chiński rząd obejmuje dane.

Singapur
Agencja Bezpieczeństwa Cybernetycznego w Singapurze zaproponowała zarys nowej ustawy dotyczącej cyberbezpieczeństwa w lipcu 2017 roku. Pomimo, że ustawa nadal nie została zatwierdzona przez parlament, warto jest zauważyć potencjalne regulacje, które będą miały szczególny wpływ na instytucje bankowe.

Podobnie do prawa dotyczącego cyberbezpieczeństwa w Chinach, Agencja Bezpieczeństwa Cybernetycznego w Singapurze będzie miała większą dostępność i władzę w zakresie użycia danych, ich przetwarzania i przechowywania. Ustawa zakłada, że jednostki krytycznej infrastruktury teleinformatycznej, takie jak agencje finansowe, będą musiały donosić o wszelkich przypadkach cyberataków, jak również jakichkolwiek modyfikacjach bezpieczeństwa systemu Komisarzowi ds. Cyberbezpieczeństwa. Przepisy dotyczące prywatności, które zapobiegają wymianie poufnych danych osobowych przez banki stają się nieważne na mocy Ustawy dotyczącej cyberbezpieczeństwa, pozwalającej Agencji Bezpieczeństwa Cybernetycznego na uzyskanie dostępu do jakiegokolwiek systemu komputerowego istotnego dla toku postępowania. Brak zastosowania się do powyższej ustawy może skutkować nałożeniem kar pieniężnych w wysokości 100000 dolarów amerykańskich, lub w wyjątkowych przypadkach nawet do 10 lat więzienia.

Unia Europejska
Ogólne Rozporządzenie o Ochronie Danych Unii Europejskiej wejdzie w życie 25 maja 2018 roku. Rozporządzenie to ma na celu ponowne powierzenie odpowiedzialności za swoje dane obywatelom Unii. Konsumenci muszą teraz aktywnie wyrazić zgodę na przetwarzanie swoich danych osobowych przez organizacje i mogą wycofać swą zgodę w dowolnym momencie. Konsumenci mogą również poprosić o przeniesienie ich danych do innych organizacji. Zgodnie z Ogólnym Rozporządzeniem o Ochronie Danych, obywatele Unii Europejskiej mają również "prawo do bycia zapomnianym", które to umożliwia im kompletne wymazanie ich danych lub nie przetwarzanie ich. Co więcej, rozporządzenie to zobowiązuje organizacje do wprowadzenia ochrony danych w fazie projektowania i domyślnie, czyniąc bezpieczeństwo głównym punktem, na którym skupiają się programy monitorowania danych.

Ogólne Rozporządzenie o Ochronie Danych ma zastosowanie nie tylko dla organizacji prowadzących działalność w Europie, ale również dla wszystkich organizacji, które przetwarzają i przechowują dane dotyczące obywateli europejskich, niezależnie od tego gdzie się fizycznie znajdują. Z powodu ogromnej ilości danych osobowych przechowywanych i przetwarzanych przez instytucje finansowe, organy regulacyjne będą prawdopodobnie uważnie przyglądać się ich wysiłkom zmierzającym do zastosowania się do odpowiednich norm. Nie zastosowanie się bowiem do nich może skutkować nałożeniem kar pieniężnych w wysokości 10 milionów euro lub 2 procent rocznego obrotu w skali globalnej w przypadku mniej znaczących naruszeń. Poważne naruszenia zaś mogą skutkować nałożeniem kar pieniężnych w wysokości 20 milionów euro lub 4 procent rocznego obrotu w skali globalnej, zależnie od tego która wartość będzie większa.

Wielka Brytania
Rząd Wielkiej Brytanii zapewnił, że decyzja o wyjściu z Unii Europejskiej nie spowoduje zaniechania stosowania się do założeń Ogólnego Rozporządzenia o Ochronie Danych. Zjednoczone Królestwo dostosowuje się do środków wyszczególnionych w Ogólnym Rozporządzenia poprzez Ustawę o Ochronie Danych Osobowych, która to aktualizuje Ustawę o Ochronie Danych z 1998 roku. W rzeczy samej, regulacje wyszczególnione w Ustawie o Ochronie Danych Osobowych są w dużej mierze tożsame z tymi zawartymi w Ogólnym Rozporządzeniu o Ochronie Danych, z wprowadzeniem jedynie kilku mniejszych zmian dotyczących dziennikarzy i badaczy naukowych.

Stany Zjednoczone
Stany Zjednoczone wykazują większe zainteresowanie problemami cyberbezpieczeństwa zarówno na poziomie stanowym jak i narodowym. Co istotne, zwłaszcza dla firm świadczących usługi finansowe, regulacja dotycząca bezpieczeństwa cybernetycznego wydana przez Nowojorski Departament Usług Finansowych NYCRR 500, swój pierwszy termin dostosowania zgodności miała wyznaczony na 28 sierpnia. Banki w Nowym Yorku zobowiązane są teraz do zgłaszania wszelkich incydentów cybernetycznych, które mogłyby mieć wpływ na bezpieczeństwo danych osobowych w przeciągu 72 godzin, włączając w to naruszenia dokonywane przez oprogramowanie wymuszające okup lub ataki typu DDoS (rozpowszechniona odmowa usługi). Banki muszą również posiadać mocny plan w zakresie cyberbezpieczeństwa i zatrudniać oficera ochrony, którego zadaniem jest nadzorowanie i utrzymywanie procesów bezpieczeństwa. Ustanowiono szereg terminów, w których firmy świadczące usługi finansowe muszą się dostosować do różnych przepisów w przeciągu następnych dwóch lat, podczas gdy termin pełnego przekształcenia ustalony jest na marzec 2019.

Wprowadzanie zgodności na całym świecie
Brak zastosowania się do nowych regulacji wspomnianych powyżej może skutkować poważnymi finansowymi i biznesowymi konsekwencjami. Celem zapewnienia dostosowania się, firmy świadczące usługi finansowe powinny dokonać przeglądu każdej z tych nowych regulacji celem zrozumienia jaki wpływ będzie to miało to na daną organizację. Podczas gdy każde prawo będzie wymagało podjęcia innych środków dotyczących cyberbezpieczeństwa, poprawienie widoczności ruchu i użycia danych w ramach danej organizacji będzie miało uniwersalną wartość.

Przeprowadzenie oceny zagrożenia cybernetycznego może umożliwić firmom świadczącym usługi finansowe dokonanie dogłębnej analizy ich aktualnego protokołu bezpieczeństwa oraz obszarów, w których mogą one być wystawione na niebezpieczeństwo. Przeprowadzenie oceny zagrożenia cybernetycznego i dokonanie odpowiednich dostosowań w zakresie bezpieczeństwa ukazuje organom regulującym, że organizacje usług finansowych dokonują aktywnej priorytetyzacji i zgodności w zakresie bezpieczeństwa.

Celem zwiększenia widoczności danych w środowiskach rozproszonych, firmy świadczące usługi finansowe muszą przyjąć podejście architektoniczne. Fortinet Security Fabric zapewnia widoczność, segmentację i automatyzację bezpieczeństwa pomiędzy sieciami, od punktów końcowych do rdzenia i w chmurze. Jako że regulacje stawiają coraz większe wymagania celem udostępnienia dla klientów i organów regulujących w stosownym terminie, taka widoczność przepływu i przechowywania danych będzie integralną częścią dostosowania.

Jako że ataki cybernetyczne będą wciąż ewoluować jako fenomen na skalę światową i rządy będą odpowiadać na nie indywidualnymi regulacjami mającymi na celu ochronę obywateli, agencje finansowe, często postrzegane jako infrastruktura krytyczna, będą musiały dostosować swoją infrastrukturę informatyczną i bezpieczeństwa w oparciu o uwarunkowania geograficzne. Ponieważ instytucje finansowe dokonują przekształceń celem spełnienia tych nowych wymagań, widoczność danych będzie pozostawała kluczową sprawą.

Autor RSS Drew Del Matto | 5.12. 2017 | opublikowane w: Business and Technology, Industry Trends

Zapisz się do naszego newslettera

logo Veracomp Exclusive Networks
info@40camp.pl
Copyright © 2016 – 2024 Exclusive Networks Poland Polityka Prywatności
Realizacja: Bitubi
cross