Cybersicherheit für Finanzdienstleistungen: NY DFS & NIST auf Multi-Faktor-Authentifizierung ausrichten

Michael Magrath, 20. März 2018

Das Finanzministerium des Staates New York (DFS) reguliert über 1.400 Versicherungsunternehmen und rund 1.500 Banken und Finanzinstitute 1 . Es überrascht nicht, dass New York die "Finanzhauptstadt der Welt" ist, die überwiegende Mehrheit der USA Finanzinstitute und viele internationale Institutionen mit Niederlassungen in New York fallen unter die DFS-Verordnung.

Angesichts der weit verbreiteten Cyberangriffe auf die USA Finanzinstitute veröffentlichte die DFS ihre Cybersicherheitsanforderungen für Finanzdienstleistungsunternehmen . Einige der Anforderungen traten Ende 2017 in Kraft, während andere im Rahmen einer Übergangsfrist zurückgestellt wurden. Als einer von 16 kritischen Infrastruktursektoren, die vom US-amerikanischen Heimatschutzministerium² definiert wurden, hat sich die Finanzdienstleistungsbranche seitdem an die Sektoren Identitäts- und Zugangsmanagement sowie Cybersicherheit gewandt.

Viele Bestimmungen der DFS-Verordnung treten ungefähr zur gleichen Zeit in Kraft, zu der das Nationale Institut für Standards und Technologie (NIST) das Gesetz fertigstellen wird Rahmen zur Verbesserung der Cybersicherheit kritischer Infrastrukturen , Version 1.1.

Laut NIST wurde in Version 1.1 des Cybersecurity Framework "eine Unterkategorie zur Adressauthentifizierung hinzugefügt und einige Sprachverfeinerungen innerhalb der Kategorie" Identitätsmanagement und Zugriffskontrolle "vorgenommen." ³ In Version 1.0 wurde die Authentifizierung nicht ausdrücklich erwähnt, was zu Verwirrung zwischen den Sektoren führte.

Die DFS-Verordnung enthält 22 separate Bestimmungen zu Richtlinien, Verfahren und Umsetzung, nach denen Finanzdienstleistungsunternehmen Daten besser schützen müssen. In diesem Beitrag diskutiere ich zwei seiner Bestimmungen: Multi-Faktor-Authentifizierung und Anwendungssicherheit.

Cybersecurity Framework, Abschnitt 500.12: Multi-Faktor-Authentifizierung (Datum des Inkrafttretens: 1. März 2018)

Basierend auf einer Risikobewertung müssen wirksame Kontrollen durchgeführt werden, um den unbefugten Zugriff auf nicht öffentliche Informationen oder Informationssysteme zu verhindern. Die Kontrollen können eine Multi-Faktor-Authentifizierung (MFA) oder eine risikobasierte Authentifizierung umfassen. Insgesamt muss MFA beim Zugriff auf interne Netzwerke von einem externen Netzwerk aus verwendet werden, es sei denn, der CISO hat eine schriftliche Genehmigung zur Verwendung angemessen gleichwertiger oder sicherer Zugriffskontrollen erteilt.

Wie auf CSOonline erwähnt, ist die Verordnung zwar immer noch MFA erforderlich, jedoch nicht so restriktiv, dass eine bestimmte NIST Authenticator Assurance Level vorgeschrieben wird, wie in den NIST definiert Richtlinien zur digitalen Identität . Finanzdienstleistungsunternehmen können aus einer Vielzahl von Authentifizierungslösungen auswählen.

Die MFA-Technologie hat seit den Tagen der PKI-Smartcards einen langen Weg zurückgelegt. Finanzdienstleistungsunternehmen können die DFS einhalten und gleichzeitig benutzerfreundliche, sichere Lösungen bereitstellen.

Man könnte argumentieren, dass Sicherheitsanbieter ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit erreicht haben oder diesem sehr nahe kommen. Biometrische mobile Geräte haben die Schleusen für Innovationen geöffnet. Mobile Geräte sind mit einer hochwertigen Kamera ausgestattet, mit der Bilder und Videos des Gesichts des Benutzers aufgenommen werden können, sowie mit Mikrofonen, um die Spracherkennungstechnologie zu nutzen. Fingerabdrücke, Sprach- und Gesichtserkennung werden in vielen Branchen eingesetzt, einschließlich Banken und Versicherungen. Darüber hinaus wurde eine Migration von OTP-Hardware-Token (One-Time-Password) zu sicheren OTP-Apps und Push-Benachrichtigungen durchgeführt. Infolgedessen kann Compliance nur eine Frage der Bereitstellung von Technologie sein, die bereits von Kunden für interne Kontrollen verwendet wird.

Während die Compliance-Frist abgelaufen ist, erhalten wir weiterhin Anfragen dazu. Weitere Informationen oder Anleitungen finden Sie unter Kontakt Formular auf unserer Multi-Faktor-Authentifizierungsseite.

Cybersecurity Framework, Abschnitt 500.08: Anwendungssicherheit (Datum des Inkrafttretens: 1. September 2018)

Wie in CSOonline erwähnt, werden in der DFS-Regel schriftliche Verfahren, Richtlinien und Standards hervorgehoben, mit denen sichergestellt werden soll, dass sichere Entwicklungspraktiken für selbst entwickelte Anwendungen und Verfahren zur Bewertung, Bewertung oder Prüfung der Sicherheit extern entwickelter Anwendungen angewendet werden. Darüber hinaus werden Verfahren, Richtlinien und Standards "vom CISO regelmäßig überprüft, bewertet und nach Bedarf aktualisiert".

Ich gehe davon aus, dass die meisten Organisationen bereits das Kontrollkästchen aktivieren können, dass sie 500.08 erfüllen. Compliance ist jedoch eine Sache - während die Sicherung von Anwendungen eine andere ist. Mit der kontinuierlichen Migration von Endbenutzern auf mobile Geräte sollten Finanzdienstleistungsunternehmen mobile Anwendungen schützen und härten und diesen wichtigen Schritt in ihre Produktentwicklungs- und Veröffentlichungszyklen einbauen, um die Integrität von Daten und Transaktionen zu schützen.

Mobile Apps bieten Benutzerfreundlichkeit und sofortigen Zugriff von einem Smartphone aus, können jedoch die Gefährdung durch Malware und Echtzeitangriffe während der Ausführung erhöhen. Beim Hinzufügen Abschirmung mobiler Anwendungen kann das Finanzinstitut wählen:

  • Bewirken, dass die Anwendung beendet wird, wenn ein Sicherheitsproblem festgestellt wird. oder
  • Stellen Sie der Anwendung eine Benachrichtigung bereit, in der die Ergebnisse der Sicherheitsüberprüfung angegeben sind, damit die Anwendung entscheiden kann, wie sie vorgehen soll (z. B. den Benutzer über potenzielle Sicherheitsrisiken informieren).

Weitere Informationen zur Konformität im mobilen Kanal finden Sie unter Kontakt Formular auf unserer Seite Application Shielding.

NAIC Insurance Data Security Model Law

Im Dezember 2017 verabschiedete die National Association of Insurance Commissioners (NAIC) die Modellmodell für Versicherungsdatensicherheit unter Nutzung vieler Bestimmungen der Cybersicherheitsanforderungen der DFS.

Angesichts der großen Verstöße, die die Versicherungsbranche in den letzten Jahren betroffen haben, ist es überraschend, dass die Anforderung der Multi-Faktor-Authentifizierung nicht im Modellgesetz enthalten ist. Das Modellgesetz schlägt jedoch die Verwendung wirksamer Kontrollen vor, zu denen auch MFA gehören kann. Ich wäre sehr überrascht, wenn die Staaten MFA weglassen würden, da das Modellgesetz landesweit verabschiedet und umgesetzt wird.

Identitätsmanagement und Multi-Faktor-Authentifizierung spielen eine entscheidende Rolle für die Cybersicherheit. Zu viele Verstöße in letzter Zeit hätten vermieden werden können, wenn Unternehmen MFA-Lösungen bereitgestellt hätten, anstatt sich auf statische Kennwörter zu verlassen. Die von der New Yorker DFS, NIST und NAIC ergriffenen Maßnahmen verstärken den Bedarf an Finanzdienstleistungen - und allen Unternehmen in dieser Angelegenheit -, moderne Technologien zum Schutz sensibler Informationen einzusetzen.

 

1. http://www.dfs.ny.gov/reportpub/annual/dfs_annualrpt_2016.pdf
2. https://www.dhs.gov/financial-services-sector
3. https://www.nist.gov/sites/default/files/documents/2017/12/05/draft-2_framework-v1-1_with-markup.pdf

Der folgende Artikel, verfasst von Michael Magrath, Director, Global Regulations & Standards, erschien erstmals am 28.02.18 am CSO Online .

Michael Magrath ist dafür verantwortlich, die Roadmap für die OneSpan-Lösung weltweit an Standards und behördlichen Anforderungen auszurichten. Er ist Vorsitzender der Government Deployment Working Group der FIDO Alliance und Mitglied des Board of Directors der Electronic Signature and Records