Vào tháng 5 năm 2017, Bộ Dịch vụ Tài chính Bang New York (NYDFS) đã phát hành 23 NYCRR Phần 500, một quy tắc an ninh mạng mới. Quy định này hiện đã có hiệu lực đầy đủ, nhưng nó chính xác là gì có thể không rõ ràng.
Kể từ khi được công bố, bộ yêu cầu này đã trải qua một số thay đổi và ngôn ngữ pháp lý của nó có thể không rõ ràng. Quy định về an ninh mạng của NYDFS là gì và nó tác động đến bạn như thế nào? Hãy xem xét kỹ hơn.
Quy định về An ninh mạng của NYDFS là gì?
Quy định về an ninh mạng của NYDFS liệt kê các yêu cầu bảo mật đối với các dịch vụ tài chính ở New York. Giống như Quy định chung về bảo vệ dữ liệu (GDPR) của Châu Âu, các quy tắc này nhằm mục đích bảo vệ dữ liệu của công dân bằng cách đưa các công ty vào một tiêu chuẩn cụ thể. Trong trường hợp này, các tiêu chuẩn này chủ yếu đến từ Khung an ninh mạng NIST.
Theo các quy định này, các công ty tài chính ở New York phải:
- Định kỳ xem xét bảo mật và quyền riêng tư dữ liệu của hệ thống CNTT của họ.
- Ghi lại các sự kiện an ninh mạng và lưu giữ những hồ sơ này trong 5 năm.
- Có các chính sách và thủ tục để xóa an toàn thông tin cá nhân mà họ không cần nữa.
- Hạn chế quyền truy cập vào Thông tin nhận dạng cá nhân (PII) và thường xuyên xem xét các đặc quyền này.
- Có kế hoạch chi tiết bằng văn bản về việc phát hiện, ứng phó và khôi phục sau các sự cố an ninh mạng.
- Thông báo cho NYDFS trong vòng 72 giờ sau sự kiện an ninh mạng.
Không giống như một số luật tương tự, quy định về an ninh mạng của NYDFS bao gồm các hướng dẫn chi tiết về những gì các kế hoạch báo cáo và bảo mật này nên bao gồm. Nó cũng yêu cầu các công ty phải đảm bảo các bên thứ ba của họ được an toàn, chứ không chỉ là các hoạt động nội bộ của họ.
Những yêu cầu này làm cho quy định này trở thành một trong những quy định rộng nhất và nghiêm ngặt nhất của bất kỳ tiểu bang nào. Các doanh nghiệp vi phạm có thể bị phạt rất nặng, nhưng mức độ đầy đủ của các hình phạt vẫn chưa rõ ràng.
Quy định về An ninh mạng của NYDFS sẽ áp dụng cho ai?
Quy định về an ninh mạng của NYDFS áp dụng cho bất kỳ cá nhân hoặc tổ chức nào cần có giấy phép từ NYDFS. Điều đó bao gồm các công ty tài chính và bảo hiểm ở New York, bao gồm:
- Các ngân hàng.
- Công đoàn tín dụng.
- Các công ty đầu tư.
- Người cho vay được cấp phép.
- Các nhà môi giới thế chấp.
- Nhà cung cấp bảo hiểm.
- Hiệp hội tiết kiệm và cho vay.
Các pháp nhân được bảo hiểm này bao gồm các doanh nghiệp địa phương và các công ty nước ngoài được cấp phép làm việc tại New York. Ví dụ:mặc dù Deutsche Bank là một công ty của Đức, nhưng nó phải tuân thủ 23 NYCRR Part 500 vì nó hoạt động ở Thành phố New York.
Có một vài trường hợp ngoại lệ trong danh sách này. Các công ty có ít hơn 10 nhân viên, doanh thu hàng năm dưới 5 triệu đô la từ New York trong ba năm qua hoặc tổng tài sản cuối năm dưới 10 triệu đô la được miễn. Các doanh nghiệp không lưu trữ hoặc xử lý thông tin cá nhân cũng vậy, nhưng điều đó khó xảy ra đối với một công ty dịch vụ tài chính.
Quy định An ninh mạng có ý nghĩa gì đối với bạn?
Nếu bạn sống hoặc ngân hàng ở bang New York, tổ chức của bạn có thể thuộc các quy định này. Ngay cả khi bạn không làm như vậy, quy định về an ninh mạng của NYDFS vẫn có thể áp dụng cho ngân hàng của bạn. Nếu nó có một chi nhánh hoạt động trong tiểu bang và đáp ứng các yêu cầu tài chính, nó sẽ phải tuân thủ.
Là khách hàng của ngân hàng, bạn không phải thực hiện bất kỳ bước nào theo các yêu cầu này. Tuy nhiên, bạn có thể thấy một số thay đổi trong cách tổ chức tài chính hoặc công ty bảo hiểm của bạn hoạt động. Bạn có thể phải sử dụng các bước bảo mật bổ sung như xác thực đa yếu tố (MFA) hoặc điều chỉnh quyền của mình khi các công ty này cải thiện các biện pháp an ninh mạng của họ.
Khung An ninh mạng NIST, lấy cảm hứng từ các quy tắc này, bao gồm việc chia sẻ thông tin kịp thời, có thể ảnh hưởng đến bạn. Nếu có sự cố xảy ra tại ngân hàng hoặc công ty bảo hiểm của bạn, họ có thể phải thông báo cho bạn. Bạn có thể sẽ không phải làm bất cứ điều gì để trả lời, nhưng bạn có thể mong đợi nhận được những loại tin nhắn này.
Ngay cả khi bạn không có bất kỳ nghĩa vụ pháp lý nào theo 23 NYCRR Phần 500, tốt nhất bạn nên cẩn thận với thông tin tài chính của mình. Luôn sử dụng mật khẩu mạnh, duy nhất, bật MFA khi có thể và không bao giờ cung cấp PII cho một nguồn không xác định. Tính nghiêm ngặt của các quy định này làm nổi bật tầm quan trọng của những vấn đề này, vì vậy hãy thận trọng.
Các chính phủ đang thực hiện nghiêm túc hơn vấn đề an ninh mạng
Quy định về an ninh mạng của NYDFS là một trong nhiều ví dụ gần đây về việc các chính quyền địa phương ban hành luật an ninh mạng. Khi các công cụ kỹ thuật số ngày càng trở nên phổ biến trong cuộc sống hàng ngày, những quy tắc này sẽ chỉ phát triển.
Người tiêu dùng cũng như các doanh nghiệp nên cập nhật các quy định này để đảm bảo rằng họ tuân thủ. Những thay đổi này thoạt đầu có vẻ phức tạp, nhưng chúng là một bước cần thiết để bảo mật tốt hơn.