Die Cybersicherheitsvorschriften des New York Department of Financial Services (DFS) Die Verordnung setzt neue Standards für Finanzdienstleister im Bundesstaat New York, um Risiken für ihre Geschäfts- und Verbraucherdaten zu identifizieren und zu minimieren. Trotz aller organisatorischen und technischen Anforderungen – wie beispielsweise eines vom Vorstand genehmigten Cybersicherheitsprogramms – wird die Verordnung Unternehmen vor allem zu einem Grundprinzip zwingen: Sie müssen zunächst verstehen, welche Daten sie besitzen, wem sie gehören, wo sie sich befinden und wer Zugriff darauf hat, um sie bestmöglich zu schützen. Da die Verordnung den Anwendungsbereich von Geschäfts- und Verbraucherdaten erweitert, ist ein neuer Ansatz erforderlich, der potenziell wichtige Daten erkennt und Datenflüsse versteht.
Einhaltung der Informationssicherheit in Zahlen
Nach eigenen Angaben ist der umfassende Satz an Informationssicherheitsanforderungen, den das NY DFS am 1. März für 3.000 betroffene Unternehmen verabschiedet hat, der erste seiner Art in den USA. Die Verordnung bricht zweifellos mit dem Modell vieler bestehender Compliance-Vorgaben, die sicherstellen sollen, dass grundlegende, allgemeingültige Richtlinien und Verfahren zur Informationssicherheit vorhanden sind. Stattdessen betont die NY DFS-Verordnung, im Einklang mit neueren Datenschutzvorschriften wie der EU-Datenschutz-Grundverordnung, einen risikoorientierten Ansatz zum Schutz von Geschäfts- und Verbraucherdaten.
So sehr sich die Verordnung auch darauf auswirken wird, wie Unternehmen in ihre Informationssicherheitspraktiken investieren und diese verwalten und wie sie ihre Organisationsstruktur ändern werden, um Risikomanagement und -minimierung in den Mittelpunkt ihrer Cybersicherheitsprogramme zu stellen, so ist die vielleicht grundlegendere Schwerpunktverlagerung Was die durch die Verordnung geschützt werden sollen.
Unter der Kategorie der Verordnung Nicht öffentliche InformationenDie betroffenen Unternehmen müssen nicht nur persönlich identifizierbare Finanzinformationen schützen, wie dies bereits unter GLBA und unter HIPAA vorgeschrieben ist, sondern auch alle Geschäfts- oder Verbraucherdaten, die „erhebliche Auswirkungen“ haben könnten, wenn sie von Angreifern und Cyberkriminellen offengelegt oder gestohlen werden.
Das Risiko „Henne“ vom Daten-Ei trennen
Ausgangspunkt für alle betroffenen Unternehmen ist zwangsläufig die Bewertung des Risikos eines unbefugten Zugriffs oder der Offenlegung von Daten, die unter die neue Kategorie „Nicht öffentliche Informationen“ (NPI) fallen. Bevor sie die Kontrollen optimieren können, um den Zugriff auf die Daten zu regeln, Überwachungsprogramme und Anwendungssicherheitsmaßnahmen gemäß der Verordnung implementieren können, müssen die betroffenen Unternehmen eine umfassende Bestandsaufnahme ihrer Daten durchführen und schrittweise ermitteln, welche Daten aufgrund ihres Geschäftswerts und der wesentlichen Auswirkungen im Falle einer Offenlegung als NPI eingestuft werden könnten.
Diese beiden neuartigen Komponenten der Verordnung – ein risikobasierter Ansatz und ein Geltungsbereich, der über Datenschutzbedenken hinausgeht – sind sinnvoll, wenn wir die übergeordnete Absicht der Verordnung bedenken: die systemische Bedrohung der Integrität der Finanzdienstleistungsbranche durch auf Datendiebstahl ausgerichtete Angreifer zu verringern und Datenschutzverletzungen einzudämmen, die das Vertrauen der Verbraucher in das System untergraben.
Indem die Verordnung eine Risikobewertung als Ausgangspunkt für das Cybersicherheitsprogramm vorschreibt, verpflichtet sie die betroffenen Unternehmen, den Schutz im Kontext ihrer spezifischen Umgebung zu betrachten, einschließlich Faktoren wie dem Zugriff Dritter, anstatt eine Checkliste durchzugehen, um sicherzustellen, dass Standardprozesse und -kontrollen vorhanden sind. Wenn das Ziel darin besteht, das Risiko eines Datenschutzverstoßes zu reduzieren, ist die Ressourcenzuweisung auf der Grundlage der Risikominderung wahrscheinlicher als die rein zahlenmäßige Informationssicherheit – allerdings mit wahrscheinlich höheren Investitionen als derzeit.
Zweitens geht die New Yorker DFS-Verordnung – selbst im Vergleich zur EU-DSGVO, die ebenfalls die Risikominimierung in den Mittelpunkt stellt – hinsichtlich des Umfangs der Datenabdeckung einen Schritt weiter. Wenn es darum geht, Verstöße und nicht nur Datenschutzverletzungen zu begrenzen, ist die Definition von NPI entsprechend weit gefasst.
Verstehen Sie Ihr Risiko, um es zu bewältigen
Die in der Verordnung enthaltene, breitere Definition nichtöffentlicher Informationen umfasst nicht nur bestimmte Kategorien personenbezogener Kennungen, biometrischer Daten, Kontoinformationen, persönlicher Zugangscodes und Passwörter sowie Gesundheitsinformationen, sondern auch alle Informationen, deren Offenlegung „erhebliche negative Auswirkungen auf das Geschäft, den Betrieb oder die Sicherheit des betroffenen Unternehmens haben könnte“. Die Definition umfasst auch Daten, die im Rahmen des Antragsverfahrens für Finanzprodukte erhoben werden, was den Geltungsbereich implizit über die Daten bestehender Kunden hinaus erweitert.
Wo bleiben die betroffenen Unternehmen, die bereits jetzt damit zu kämpfen haben, aktuelle und umfassende Datenbestände zu pflegen und Datenflüsse für die explizit definierten Datenkategorien beispielsweise in HIPAA, GLBA und PCI abzubilden?
Durch das Scannen nicht nur strukturierter Datenquellen, sondern auch von Big Data-Repositories, unstrukturierten Datenquellen wie Dateifreigaben und Cloud-Daten Durch die Analyse von Diensten und die Ableitung von nichtöffentlichen Informationen anhand eines Identifizierbarkeitswerts können sich die betroffenen Unternehmen ein umfassenderes Bild ihrer potenziellen Gefährdung machen. Ohne diesen datenbasierten Einblick in ihre Infrastruktur und die Fähigkeit, einzigartige Merkmale durch maschinelles Lernen zu identifizieren und zu charakterisieren, werden die betroffenen Unternehmen ihre Cybersicherheitsprogramme zwangsläufig auf der Grundlage eines unvollständigen Überblicks über ihr Gefährdungsrisiko definieren.
Genau dieser Herausforderung will BigID begegnen: Es soll Kunden ermöglichen, sich ein vollständiges Bild ihres Datenbestands zu machen, zu verstehen, wo diese gespeichert sind, schrittweise neue Attribute zu entdecken und detaillierte Einblicke in die Art und Weise zu erhalten, wie auf Daten bis hinunter auf Feldebene zugegriffen wird.
Um die Anforderungen der Verordnung zu erfüllen, müssen die betroffenen Unternehmen neue Ansätze zur Ermittlung und Inventarisierung nichtöffentlicher Informationen auf der Grundlage von Datenwissenschaft und maschinellem Lernen verfolgen und die Durchsetzung, beispielsweise durch Zugriffskontrollen und gezielten Datenschutz, danach ausrichten, wo die größten Risiken liegen.
von Dimitri Sirota und @stavvmc
Autor
