OneSpan Blog

Cibersegurança de Serviços Financeiros: NY DFS e NIST se alinham na autenticação multifatorial

Cibersegurança e autenticação forte
Michael Magrath, 20 de Março de 2018

O Departamento de Serviços Financeiros do Estado de Nova York (DFS) regula mais de 1.400 companhias de seguros e aproximadamente 1.500 bancos e instituições financeiras 1 . Não surpreende que Nova York seja a "capital financeira do mundo", a esmagadora maioria dos Estados Unidos. instituições financeiras e muitas instituições internacionais com operações em Nova York se enquadram na regulamentação do DFS.

Dados os ciberataques generalizados nos EUA instituições financeiras, o DFS publicou sua Requisitos de segurança cibernética para empresas de serviços financeiros . Alguns dos requisitos entraram em vigor no final de 2017, enquanto outros foram adiados em um período de transição. Como um dos 16 setores críticos de infraestrutura definidos pelo Departamento de Segurança Interna dos EUA², o setor de serviços financeiros se voltou para os setores de gerenciamento de identidade e acesso e segurança cibernética, para orientação.

Muitas das disposições do regulamento DFS entram em vigor na mesma época em que o Instituto Nacional de Padrões e Tecnologia (NIST) finaliza o Estrutura para melhorar a segurança cibernética da infraestrutura crítica , versão 1.1.

De acordo com o NIST, a versão 1.1 do Cybersecurity Framework "adicionou uma subcategoria para tratar da autenticação e foram feitos alguns aprimoramentos de idioma na categoria Gerenciamento de identidades e controle de acesso". ³ A versão 1.0 não chamou especificamente a autenticação, causando confusão entre os setores.

O regulamento DFS inclui 22 disposições separadas que abrangem políticas, procedimentos e implementação, exigindo que as organizações de serviços financeiros protejam melhor os dados. Neste post, discuto duas de suas disposições: autenticação multifatorial e segurança de aplicativos.

Estrutura de segurança cibernética, Seção 500.12: Autenticação multifatorial (Data de efetividade: 1º de março de 2018)

Com base em uma avaliação de risco, controles efetivos devem ser implementados para proteger contra acesso não autorizado a informações ou sistemas de informação não públicos. Os controles podem incluir autenticação multifatorial (MFA) ou autenticação baseada em risco. Em suma, o MFA deve ser usado ao acessar redes internas de uma rede externa, a menos que o CISO tenha fornecido aprovação por escrito para usar controles de acesso razoavelmente equivalentes ou mais seguros.

Conforme mencionado no CSOonline, embora o regulamento ainda exija MFA, ele não é tão restritivo a ponto de exigir um Nível de Garantia de Autenticador NIST específico, conforme definido no NIST. Diretrizes de identidade digital . As organizações de serviços financeiros podem escolher entre uma variedade de soluções de autenticação.

A tecnologia MFA percorreu um longo caminho desde os dias dos cartões inteligentes PKI. As organizações de serviços financeiros podem estar em conformidade com o DFS ao implantar soluções seguras e amigáveis.

Alguém poderia argumentar que os fornecedores de segurança alcançaram, ou estão muito perto de alcançar, um equilíbrio entre segurança e usabilidade. Os dispositivos móveis habilitados para biometria abriram as comportas para a inovação. Os dispositivos móveis estão equipados com uma câmera de alta qualidade capaz de capturar imagens e vídeos do rosto do usuário e microfones para alavancar a tecnologia de reconhecimento de voz. Impressões digitais, reconhecimento de voz e facial estão sendo usadas em muitos setores, incluindo bancos e seguros. Além disso, houve uma migração de tokens de hardware de senha única (OTP) para aplicativos OTP seguros e notificações push. Como resultado, a conformidade pode ser apenas uma questão de implantar a tecnologia já em uso pelos clientes, para controles internos.

Enquanto o prazo de conformidade expirou, continuamos a receber perguntas sobre isso. Para obter informações ou orientações adicionais, preencha o Formulário de Contato na nossa página de autenticação multifatorial.

Estrutura de segurança cibernética, Seção 500.08: Segurança de aplicativos (Data de efetividade: 1º de setembro de 2018)

Conforme mencionado no CSOonline, a regra DFS enfatiza procedimentos, diretrizes e padrões escritos, projetados para garantir o uso de práticas de desenvolvimento seguras para aplicativos desenvolvidos internamente e procedimentos para avaliar, avaliar ou testar a segurança de aplicativos desenvolvidos externamente. Além disso, procedimentos, diretrizes e normas "devem ser periodicamente revisados, avaliados e atualizados conforme necessário pelo CISO".

Assumirei que a maioria das organizações já pode marcar a caixa de conformidade com 500.08. No entanto, a conformidade é uma coisa - enquanto proteger verdadeiramente os aplicativos é outra. Com a migração contínua de usuários finais para dispositivos móveis, as organizações de serviços financeiros devem proteger e fortalecer os aplicativos móveis e incorporar essa importante etapa aos ciclos de desenvolvimento e lançamento de produtos para proteger a integridade dos dados e transações.

Os aplicativos móveis oferecem facilidade de uso e acesso instantâneo a partir de um smartphone, mas podem aumentar a exposição a malware e ataques em tempo real durante a execução. Adicionando blindagem de aplicativos móveis , a instituição financeira pode optar por:

  • Faça com que o aplicativo seja encerrado quando detectar um problema de segurança; ou
  • Forneça uma notificação ao aplicativo, que especifica os resultados da verificação de segurança para que o aplicativo possa decidir como proceder (por exemplo, notifique o usuário sobre possíveis riscos à segurança).

Para obter informações adicionais sobre conformidade no canal móvel, preencha o Formulário de Contato na nossa página Proteção de aplicativos.

Lei do Modelo de Segurança de Dados de Seguro NAIC

Em dezembro de 2017, a Associação Nacional de Comissários de Seguros (NAIC) adotou o Lei do Modelo de Segurança de Dados de Seguros , aproveitando muitas das disposições dos requisitos de segurança cibernética do DFS.

Dadas as violações em larga escala que afetaram o setor de seguros nos últimos anos, é surpreendente que o requisito de autenticação multifatorial não esteja incluído na lei modelo. No entanto, a lei modelo sugere o uso de controles eficazes, que podem incluir a AMF. Eu ficaria muito surpreso se os estados omitissem o MFA, pois a lei modelo é adotada e implementada em todo o país.

O gerenciamento de identidade e a autenticação multifatorial desempenham um papel crítico na segurança cibernética. Muitas violações recentes poderiam ter sido evitadas se as organizações tivessem implantado soluções de MFA em vez de depender de senhas estáticas. As ações do DFS, NIST e NAIC de Nova York reforçam a necessidade de serviços financeiros - e todas as empresas nesse sentido - para alavancar tecnologias modernas para proteger informações confidenciais.

 

1 http://www.dfs.ny.gov/reportpub/annual/dfs_annualrpt_2016.pdf
2) https://www.dhs.gov/financial-services-sector
3) https://www.nist.gov/sites/default/files/documents/2017/12/05/draft-2_framework-v1-1_with-markup.pdf

O artigo a seguir, de autoria de Michael Magrath, diretor de regulamentos e normas globais, apareceu pela primeira vez em 28/2/18 em CSO Online .

serviços bancários cíber segurança Seguro MFA NIST nydfs Regulador NYDFS
Michael Magrath
Michael Magrath

Michael Magrath é responsável por alinhar o roteiro de solução da OneSpan com padrões e requisitos regulatórios em todo o mundo. Ele é copresidente do Grupo de Trabalho de Implantação do Governo da FIDO Alliance e faz parte do Conselho de Diretores da Associação de Assinatura Eletrônica e Registros (ESRA).

Ir para o topo