纽约网络安全条例:首开先河的企业安全监管法规 | RSA Insight
纽约市正采取独特的激进方式打击网络犯罪。 诚然,他们的这种努力只是针对一个行业,但我们需要这样的先导力量。
作为世界上金融服务公司最为集中的地方,还有世界上最大证券交易所,纽约无疑有很多需要保护的信息。这也是纽约州长安德鲁·科莫(Andrew Cuomo)在2016年要求该州金融服务部门制定网络法规的原因。
该法规定于3月1日开始生效,并随着时间的推移逐步实施。上个月商业媒体Business Insider也详细探讨了该法规,并指出纽约法规这样的法规早该颁布,现在做的还远远不够。
但至少这样的法规让金融公司开始考虑采取措施以保护客户敏感数据,毕竟不遵守规定的公司将受到处罚。而最终,他们可能会理解,泄漏事故的重点不是找出是谁的错,而是如何避免泄露事故的发生。
Market Street Trust公司首席信息安全官特丽萨·普拉特(Theresa Pratt)称:“每个人都是网络安全团队的一部分。从技术角度来看,我自己或同事做了什么并不重要,只要有用户点击恶意链接或者通过电话回答了钓鱼者的问题,我们做的一切都是徒劳。”
并且,毫无疑问,这种数据泄露事故比以往任何时候都更加严重。《商业内参》援引IBM 的报告内容,在2016年公开承认的数据泄露事故中,超过2亿财务记录遭泄露,这比2015年高出937%。
这些统计数据引发出一个严重的问题,而其实这个行业早应该重视这个问题:企业保护客户财务信息的工作做得并不够。例如,英国管理服务提供商Claranet最新调查发现,尽管欧洲新的通用数据保护条例(GDPR)的截止日期是5月份,但仍有69%的公司承认他们无法有效保护客户数据。
Claranet公司财务顾问米歇尔·罗伯特(Michel Robert)称:“毫无疑问,数据安全是金融企业面临的最紧迫的问题,完善的安全做法是这些企业的根基所在。而我们的研究表明,大多数金融机构都没有保护好数据安全。从更广泛的角度来看,几乎70%的企业无法保证其客户数据安全,这个问题非常令人担忧。”
好消息是,纽约的新法规可能也会鼓舞美国其他州颁布类似法规。事实上,《商业内参》报道称,在至少42个州,已经颁布240多项有关网络安全的法案或决议。在纽约法规生效后,科罗拉多州和佛蒙特州也已经发布自己的法规。
纽约颁布的法规是针对单个行业,而通用数据保护条例涉及欧盟28个成员国的每个行业。哥伦比亚数据科学研究所网络安全中心联席主席兼哥伦比亚法学院教授马修·韦克斯曼(Matthew Waxman)称,可能只有大规模数据泄露事故才能刺激这一法规的广泛实施。
韦克斯曼称:“有时候我们很难让政府采取行动来应对某些威胁,除非政府看到灾难发生。但如果银行系统被终端或者其他重大破坏事故影响到人们日常生活和市民安全,这可能会带来突然改变。”
纽约颁布的新法规的目标是让我们更好地保护数据。事实证明,在事故发生后才作出响应是无效的策略;最成功的安全做法需要有某种预测因素,让企业比坏人先行一步。消费者需要保管其宝贵数据的企业采取积极主动的姿态,对于它们来说,数据泄露事故是不可接受的事情。
也许在纽约的帮助下,我们可更快实现这一目标。
本文翻译自RSA
点击“阅读原文”,查看安全内参RSA 2018专题。
长按二维码,扫描关注《安全内参》