Im Jahr 2003 wurden mit der Safeguards Rule Gramm Leach Bliley Act (GLBA) wichtige Standards für Finanzinstitute zum Schutz der Vertraulichkeit und Sicherheit von nicht-öffentlichen persönlichen Daten von Verbrauchern festgelegt. Angesichts des sensiblen Charakters von Finanztransaktionen ebnete die Safeguards Rule den Weg für die Vorbereitung des Finanzsektors auf die zunehmenden Cyber-Bedrohungen, die auf hochwertige Daten abzielen.
In Anbetracht der stark veränderten technologischen Landschaft hat die Federal Trade Commission (FTC) vor kurzem beschlossen, die ersten Aktualisierungen der Safeguards Rule seit fast zwei Jahrzehnten einzuführen. Da die aktualisierte Regelung im November 2022 in Kraft treten soll, ist es jetzt an der Zeit, sich mit den Änderungen vertraut zu machen und Ihre Sicherheitsstrategie entsprechend zu aktualisieren. Dieser Artikel gibt einen Überblick über die neuen Safeguards Rule, einschließlich der wichtigsten Aktualisierungen, der erweiterten Definition von Finanzinstituten und der erforderlichen Sicherheitsstrategien zur Einhaltung der Vorgaben
Eine kurze Geschichte zu den Safeguards Rules
Die Safeguards Rule gilt für Finanzinstitute, die in die Zuständigkeit der FTC fallen (Nicht-Bankinstitute). Die ursprüngliche Norm verlangte die Einhaltung der Vorschriften von allen betroffenen Finanzinstituten, die Finanzgeschäfte tätigen.
Gegenwärtig sieht die Vorschrift vor, dass Finanzinstitute „eine umfassende Informationssicherheitsstrategie entwickeln, umsetzen und aufrechterhalten müssen, das in einem oder mehreren leicht zugänglichen Teilen verfasst ist“. Die ursprüngliche Vorschrift enthielt die folgenden Standards und Richtlinien für das, was Organisationen zu tun haben:
Erstellen Sie eine Informationssicherheitsstrategie, das der Größe des Unternehmens, der Komplexität und der Sensibilität der verarbeiteten Daten Rechnung trägt.
Bestimmen Sie die Verantwortung für die Informationssicherheitsstrategie im Unternehmen.
Durchführung einer Risikobewertung und Umsetzung geeigneter Abhilfemaßnahmen.
Durchführung von Sicherheitsschulungen und Sensibilisierung als Teil der Informationssicherheitsstrategie
Während alle diese Punkte nach wie vor Eckpfeiler jeder modernen Informationssicherheitsstrategie sind, waren die anfänglichen Implementierungsdetails ziemlich unspezifisch. Da es in den letzten zehn Jahren regelmäßig zu groß angelegten Datenschutzverletzungen kam, die sich auf die Finanzdaten von Kunden auswirkten, hat die FTC im Jahr 2021 konkretere Richtlinien und Maßnahmen für die Umsetzung eines Informationssicherheitsstrategie und den wirksamen Schutz von Kundendaten durch Finanzinstitute festgelegt.
Neue Safeguards-Regel: Wichtige Aktualisierungen
Die als „Final Rule“ bezeichnete Änderung der Safeguards Rule durch die FTC enthält die folgenden wesentlichen Aktualisierungen.
Allgemeines Sicherheitsprogramm
Spezifischere Umsetzungsrichtlinien dafür, was als angemessene Kontrollen zum Schutz von Kundendaten ausreicht. Diese Aktualisierungen spiegeln die aktuelle Cyber-Bedrohungs Landschaft wider und umfassen wichtige Datensicherheitsmaßnahmen wie Verschlüsselung und Zugangskontrollen. (Weitere Einzelheiten siehe unten).
Risikobewertung
Die Final Rule erweitert die Kriterien dafür, was eine Risikobewertung beinhalten muss, und verlangt außerdem, dass die Risikobewertung schriftlich festgehalten wird. Eine der wichtigsten Neuerungen besteht darin, dass die Finanzinstitute Kriterien für die Prüfung der Angemessenheit bestehender Technologien und Kontrollen im Zusammenhang mit den festgestellten Risiken und Bedrohungen angeben müssen. Ziel ist es offenbar, die Organisationen dazu zu bringen, die Einführung von Technologien zu erwägen, die die Privatsphäre verbessern und schützen.
Prüfung
Früher wurden Organisationen durch die Testanforderungen angewiesen, die Wirksamkeit ihrer Sicherheitsvorkehrungen regelmäßig zu testen oder zu überwachen, ohne dass die Häufigkeit oder Art der Tests festgelegt wurde. Die Änderungen verlangen nun entweder (a) jährliche Penetrationstests und halbjährliche Schwachstellen Bewertungen oder (b) eine kontinuierliche Überwachung.
Reaktion auf Zwischenfälle
Die neuen Richtlinien zur Reaktion auf Zwischenfälle in der Vorschrift verlangen einen schriftlichen Plan zur Reaktion auf Zwischenfälle. Dieser Plan umreißt die spezifischen Maßnahmen, die zu ergreifen sind, um auf ein Sicherheitsereignis, das die Vertraulichkeit, Integrität oder Verfügbarkeit von Kundendaten beeinträchtigt, zu reagieren und es umgehend zu beheben. Der Plan für die Reaktion auf Vorfälle muss unter anderem Ziele, Prozesse, Rollen und Verantwortlichkeiten sowie die Kommunikation abdecken.
Erweiterte Definition von Finanzinstituten
Die FTC hat in ihrer geänderten Safeguards Rule auch die Definition von Finanzinstituten um Vermittler erweitert. Ein Vermittler ist ein Mittelsmann, der Käufer und Verkäufer zusammenbringt, um Geschäfte zu tätigen. Anstatt nur von Unternehmen, die Finanzgeschäfte tätigen, die Einhaltung der Vorschriften zu verlangen, werden in der neuen Vorschrift auch Organisationen, die an solchen Geschäften beteiligt sind, in den Wortlaut aufgenommen.
Es ist erwähnenswert, dass die Änderungen auch eine Ausnahmeregelung für kleine Unternehmen in Bezug auf einige der Änderungen beinhalten. Die Final Rule besagt, dass Finanzinstitute, die Informationen über weniger als 5.000 Verbraucher sammeln, keine schriftliche Risikobewertung, keinen Plan zur Reaktion auf Zwischenfälle und keine jährliche Berichterstattung an den Vorstand benötigen.
Erforderliche Sicherheitsmaßnahmen für die Safeguards Rule
Zu den neuen präskriptiven Anforderungen in Bezug auf Sicherheitsmaßnahmen und Schutzvorkehrungen gehören:
- Zugangskontrollen – Implementierung und Überprüfung technischer und physischer Kontrollen zum Schutz vor unbefugtem Zugang zu Kundendaten. Bemerkenswert ist, dass sich die geänderten Vorschriften auf das Prinzip der geringsten Privilegien beziehen; beschränken Sie den Zugang auf das, was für die Erfüllung Ihrer Aufgaben und Funktionen erforderlich ist.
- Verschlüsselung – Verschlüsselung von Daten in eine unlesbare Form unter Verwendung konsistenter Verschlüsselungsmethoden mit aktuellen kryptografischen Standards. Diese Schutzmaßnahme gilt für Daten im Ruhezustand oder bei der Übertragung über externe Netzwerke.
- Sichere Entwicklungspraktiken – angesichts der Tatsache, dass Bedrohungs Akteure benutzerdefinierte Anwendungen mit der Absicht angreifen können, auf Kundendaten zuzugreifen, gelten die Änderungen für alle internen Anwendungen, die Kundendaten übertragen, darauf zugreifen oder sie speichern.
- Multi-Faktor-Authentifizierung – Eine strenge Anforderung an die Multi-Faktor-Authentifizierung (MFA) bedeutet, dass Sie MFA für jede Person benötigen, die auf ein Informationssystem zugreift. MFA erfordert, dass Benutzer zwei oder mehr verschiedene Kategorien von Informationen angeben, um ihre Identität zu überprüfen.
- Sichere Datenentsorgung – Wenn die Daten eines Kunden zwei Jahre lang nicht im Zusammenhang mit der Bereitstellung eines Produkts oder einer Dienstleistung für diesen Kunden verwendet wurden, müssen die Daten sicher entsorgt werden. Die einzige Ausnahme für die Aufbewahrung von Daten über diesen zweijährigen Zeitraum hinaus ist, wenn sie für den Geschäftsbetrieb oder andere legitime Geschäftszwecke erforderlich sind. Außerdem müssen Sie Ihre Richtlinie zur Datenaufbewahrung regelmäßig überprüfen, um die unnötige Aufbewahrung von Daten zu minimieren, obwohl die Häufigkeit solcher Überprüfungen in dem Dokument nicht erwähnt wird.
- Überwachung: Verwenden Sie eine Kombination aus Richtlinien, Verfahren und Kontrollen zur Überwachung von Protokolldateien und anderen Quellen für Benutzeraktivitäten, um zu erkennen, ob unbefugte Benutzer auf Kundendaten zugreifen oder diese manipulieren.
Die Rolle der Datenverlust Prävention
Die weitreichenden und spezifischen Änderungen, die mit der neuen GLBA Safeguards Rule eingeführt wurden, helfen den betroffenen Finanzinstituten, ihre Informationssicherheit Programme zu stärken, indem sie bewährte Prinzipien der effektiven Datensicherheit anwenden. Obwohl viele solide Sicherheitsprogramme diese Praktiken bereits beinhalten, trägt ihre gesetzliche Verankerung letztlich zu einem besseren Schutz der Privatsphäre und der Sicherheit des Einzelnen bei.
Von Geldverleihern über Hypothekenmakler bis hin zu Hochschuleinrichtungen, die an Bundesprogrammen zur finanziellen Unterstützung von Studenten teilnehmen, müssen unzählige Unternehmen und Organisationen die GLBA-Vorschriften einhalten. Aber was können Sie tun, wenn Ihr derzeitiges Informationssicherheits-Programm nicht den Anforderungen entspricht?
Lösungen zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP) können viele Herausforderungen bei der Einhaltung gesetzlicher Vorschriften mildern. Endpoint Protector ist eine Endpunkt-DLP-Lösung, die alle Ausgangspunkte überwacht und kontrolliert, um sicherzustellen, dass sensible Daten Ihr Netzwerk nicht verlassen, selbst wenn Mitarbeiter an anderen Orten arbeiten. Zu den zusätzlichen Funktionen gehört die Möglichkeit, sensible Daten zu erkennen, zu verschlüsseln und zu löschen, wie es die aktualisierte Safeguards Rule vorschreibt.