Services financiers Cybersécurité: NY DFS - NIST Align on Multi-factor Authentication (en)

Le New York State Department of Financial Services (DFS) réglemente plus de 1 400 compagnies d'assurance et environ 1 500 banques et institutions financières¹. Comme on pouvait s'y attendre, New York étant la « capitale financière du monde », l'écrasante majorité des États-Unis. institutions financières et de nombreuses institutions internationales ayant des activités à New York relèvent de la réglementation DFS.

Compte tenu de la grande ampleur des cyberattaques contre les États-Unis institutions financières, le DFS a publié ses exigences en matière de cybersécurité pour les sociétés de services financiers. Certaines des exigences sont entrées en vigueur à la fin de 2017, tandis que d'autres ont été reportées en vertu d'une période de transition. En tant que l'un des 16 secteurs d'infrastructures essentielles définis par le département de la Sécurité intérieure des États-Unis2, le secteur des services financiers s'est depuis tourné vers les secteurs de l'identité et de l'accès et de la cybersécurité pour obtenir des conseils.

Bon nombre des dispositions du règlement d'information sur le SDF entrent en vigueur à peu près au même moment où le National Institute of Standards and Technology (NIST) finalisera le Cadre pour l'amélioration de la cybersécuritédes infrastructures essentielles , version 1.1.

Selon le NIST, la version 1.1 du Cadre de cybersécurité « a ajouté une sous-catégorie pour aborder l'authentification et certains perfectionnements linguistiques ont été apportés dans la catégorie de la gestion de l'identité et du contrôle d'accès ». 3 La version 1.0 n'appelait pas spécifiquement l'authentification, ce qui a conduit à la confusion entre les secteurs.

Le règlement du SDF comprend 22 dispositions distinctes concernant les politiques, les procédures et la mise en œuvre exigeant des organisations de services financiers qu'elles protègent mieux les données. Dans ce post, je discute de deux de ses dispositions: l'authentification multifacteur et la sécurité des applications.

Cadre sur la cybersécurité, Section 500.12 : Authentification multifacteur (date d'entrée en vigueur : 1er mars 2018)

Sur la base d'une évaluation des risques, des contrôles efficaces doivent être mis en œuvre pour se protéger contre l'accès non autorisé à des systèmes d'information ou d'information non publics. Les contrôles peuvent inclure l'authentification multifacteur (MFA) ou l'authentification basée sur le risque. En résumé, l'AMF doit être utilisée pour accéder aux réseaux internes à partir d'un réseau externe, à moins que le CISO n'ait fourni l'approbation écrite d'utiliser des contrôles d'accès raisonnablement équivalents ou plus sûrs.

Comme nous l'avons mentionné dans CSOonline, bien que le règlement exige toujours l'AMF, il n'est pas si restrictif qu'il exige un niveau d'assurance spécifique de l'authentification du NIST tel que défini dans les Lignes directricessur l'identité numérique du NIST . Les organismes de services financiers peuvent choisir parmi une variété de solutions d'authentification.

La technologie MFA a parcouru un long chemin depuis l'époque des cartes à puce PKI. Les organismes de services financiers peuvent se conformer au DFS tout en déployant des solutions conviviales et sécurisées.

On pourrait soutenir que les fournisseurs de sécurité ont atteint, ou sont très près d'atteindre, un équilibre entre la sécurité et la convivialité. Les appareils mobiles biométriques ont ouvert les vannes de l'innovation. Les appareils mobiles sont équipés d'une caméra de haute qualité capable de capturer des images et des vidéos du visage de l'utilisateur, et des microphones pour tirer parti de la technologie de reconnaissance vocale. Les empreintes digitales, la reconnaissance vocale et faciale sont utilisées dans de nombreuses industries, y compris les banques et les assurances. En outre, il y a eu une migration des jetons matériels de mot de passe ponctuel (OTP) pour sécuriser, les applications OTP et les notifications push. Par conséquent, la conformité peut être simplement une question de déploiement de la technologie déjà utilisée par les clients, pour les contrôles internes.

Bien que la date limite de conformité soit passée, nous continuons de recevoir des demandes de renseignements à ce sujet. Pour plus d'informations ou de conseils, remplissez le formulaire de contact sur notre page d'authentification multifacteur.

Cadre sur la cybersécurité, Section 500.08 : Sécuritédes applications(date d'entrée en vigueur : 1er septembre 2018)

Comme nous l'avons mentionné sur CSOonline, la règle d'EdFS met l'accent sur les procédures écrites, les lignes directrices et les normes conçues pour assurer l'utilisation de pratiques de développement sécurisées pour les applications et procédures développées à l'interne pour évaluer, évaluer ou tester la sécurité des applications développées à l'extérieur. De plus, les procédures, les lignes directrices et les normes « doivent être examinées périodiquement, évaluées et mises à jour au besoin par l'OCS ».

Je suppose que la plupart des organisations peuvent déjà cocher la case qu'ils se conforment à 500.08. Cependant, la conformité est une chose - tandis que la sécurisation des applications est vraiment une autre. Avec la migration continue des utilisateurs finaux vers les appareils mobiles, les organisations de services financiers devraient protéger et durcir les applications mobiles et intégrer cette étape importante dans leurs cycles de développement et de sortie de produits afin de protéger l'intégrité des données et Transactions.

Les applications mobiles offrent une facilité d'utilisation et un accès instantané à partir d'un smartphone, mais peuvent augmenter l'exposition aux logiciels malveillants et aux attaques en temps réel pendant l'exécution. En ajoutant le blindage des applications mobiles,l'institution financière peut choisir de :

• Faire en sorte que l'application se termine lorsqu'elle détecte un problème de sécurité; Ou
• Fournir une notification à l'application, qui spécifie les résultats de la vérification de sécurité afin que l'application puisse décider de la façon de procéder (par exemple, aviser l'utilisateur des risques potentiels pour la sécurité).

Pour plus d'informations sur la conformité dans le canal mobile, remplissez le formulaire de contact sur notre page de protection des applications.

NAIC Insurance Data Security Model Law

En décembre 2017, la National Association of Insurance Commissioners (NAIC) a adopté la Loi sur le modèle de sécurité des donnéesd'assurance, s'appuyant sur bon nombre des dispositions des exigences en matière de cybersécurité du DFS.

Étant donné les violations à grande échelle qui ont touché l'industrie de l'assurance au cours des dernières années, il est surprenant que l'exigence d'authentification multifacteur ne soit pas incluse dans la loi modèle. Toutefois, la loi type suggère d'utiliser des contrôles efficaces, qui peuvent inclure l'AMF. Je serais très surpris si les États omettent l'AMF comme la loi modèle est adoptée et mise en œuvre à l'échelle nationale.

La gestion de l'identité et l'authentification multifacteur jouent un rôle essentiel dans la cybersécurité. Trop de violations de la fin aurait pu être évitée si les organisations avaient déployé des solutions MFA au lieu de s'appuyer sur des mots de passe statiques. Les mesures prises par le DFS de New York, le NIST et le NAIC renforcent la nécessité pour les services financiers - et toutes les entreprises d'ailleurs - de tirer parti des technologies modernes pour protéger les informations sensibles.

1. http://www.dfs.ny.gov/reportpub/annual/dfs_annualrpt_2016.pdf
2. https://www.dhs.gov/financial-services-sector
3. https://www.nist.gov/sites/default/files/documents/2017/12/05/draft-2_framework-v1-1_with-markup.pdf

L'article suivant, rédigé par Michael Magrath, directeur, Règlements mondiaux et normes, est apparu pour la première fois le 28/02/18 sur CSO Online.