ניו-יורק עדכנה את תקנות הגנת הסייבר למוסדות פיננסיים

פרטיות וסייבר רגולציה וממשל
מאת‏ עו"ד דותן המר

שותף בקבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד פרל כהן צדק לצר ברץ

אולי יעניין אותך גם

זמן קריאה: דקה אחת
שמור ב"תכנים שלי"

הרגולטור למוסדות פיננסיים במדינת ניו-יורק (New York Department of Financial Services) פרסם תיקון לכללי הגנת הסייבר החלים על מוסדות פיננסיים הפועלים במדינה. השינויים העיקריים בתקנות החדשות עוסקים בבקרה ופיקוח על האמצעים שהארגון נוקט ומיישם להגנת סייבר.

החידושים בתקנות העדכניות כוללים:

  • סיווג חדש למוסדות פיננסיים גדולים בעלי מחזור עסקי העולה על 20 מיליון דולר במדינת ניו-יורק (או מיליארד דולר בכל רחבי ארה"ב), או שהם מעסיקים מעל 2,000 עובדים. מוסדות כאלה יידרשו לבצע מדי שנה ביקורת אבטחת סייבר באמצעות גורם בלתי תלוי. הם גם יידרשו ליישם אמצעים מתקדמים לניהול הרשאות גישה למידע, כדוגמת כלי המונע שימוש בסיסמאות נפוצות ואמצעים לזיהוי פעילות אנומלית בנקודות קצה ברשת הארגונית.
  • קצין אבטחת המידע בארגון יידרש לדווח לדירקטוריון על התפתחויות מהותיות בתחום אבטחת הסייבר בארגון. הדירקטוריון, מצידו, יידרש לפתח הבנה נאותה בנושא סיכוני סייבר ולפקח באופן אפקטיבי על מדיניות ניהול סיכוני סייבר בארגון.
  • חובת ביצוע סריקות אוטומטיות שנתיות לאיתור חולשות ופגיעויות במערכות המידע. הארגון יידרש לטפל בחולשות שזוהו בתוך זמן סביר בהתאם לחומרת החולשה.
  • הרחבת חובת השימוש באימות דו-שלבי וחובה חדשה לרישום מצאי של נכסי מערכות המידע הארגוניות.
  • פיתוח, הטמעה ותרגול של תוכנית שרידות עסקית והתאוששות מאסון (Business Continuity and Disaster Recovery).
  • חובת דיווח על תשלום כופרה (במידה והארגון שילם), בתוך 24 שעות ממועד התשלום. לאחר מכן, בתוך 30 יום, הארגון נדרש להגיש לרגולטור דו"ח המנמק את סיבת התשלום, ניתוח האלטרנטיבות לתשלום שהארגון שקל, והסבר על בדיקות הנאותות שביצע הארגון בנוגע לציות לחוקים והתקנות החלים על תשלומי כופר.

law.co.il מזכיר כי תקנות הגנת הסייבר המקורית למוסדות פיננסיים בניו-יורק נכנסו לתוקף במרץ 2017 והיו חדשניות לזמנן בארה"ב. לראשונה, מוסדות פיננסיים נדרשו לציית לכללים מפורטים על אבטחת סייבר, כגון מיפוי סיכוני סייבר, איתור ניסיונות תקיפת סייבר, יישום נהלים להגברת ההגנה מפני איומי סייבר וטיפול נאות בתקיפות ופריצות סייבר עם תוכנית התאוששות מתאימה. מדיניות הגנת הסייבר נדרשה לטפל בנושאים כגון ניהול הרשאות גישה, אבטחה פיזית, פרטיות המידע אודות לקוחות ועוד. לפי התקנות מ-2017, מוסדות פיננסיים נדרשו למנות קצין אבטחת מידע ראשי (Chief Information Security Officer) שיהיה אחראי על מכלול הנושאים הללו, והמוסדות נדרשו לראשונה לעבור הסמכה שנתית שתאמת כי הם עומדים בדרישות התקנות.

התקנות החדשות ייכנסו לתוקף בהדרגה. חלקן יהיה בתוקף החל מה-30.11, כדוגמת החובה לדווח על תשלום כופרה. ההוראה שתכנס לתוקף במועד המאוחר ביותר היא הרחבת חובת השימוש באימות דו-שלבי, שתכנס לתוקף בעוד כשנתיים.