NY DFS,NIST和NAIC致力于金融服务中的多因素身份验证

纽约DFS,NIST和NAIC采取的行动加强了对金融服务以及所有企业的需求,以利用现代技术来保护敏感信息。

2个令牌认证锁
Thinkstock

纽约州金融服务部 (DFS)监管着1,400多家保险公司和大约1,500家银行和金融机构。毫不奇怪,纽约是“世界金融之都”,绝大多数美国金融机构和在纽约开展业务的许多国际机构都受DFS监管。

鉴于对美国金融机构的广泛网络攻击,DFS发布了 金融服务公司的网络安全要求。其中一些要求于2017年底生效,而其他要求则在过渡期后被推迟。如 16个关键基础设施领域之一 此后,由美国国土安全部(US Department of 首页land Security)定义,金融服务行业已转向身份和访问管理以及网络安全领域寻求指导。 

DFS法规的许多规定在美国国家标准与技术研究院(NIST)即将完成最终确定的同时生效。 改善关键基础设施网络安全的框架, 版本1.1。 

根据NIST,Cyber​​security Framework 1.1版“添加了一个子类别来解决身份验证,并且在“身份管理和访问控制”类别中进行了一些语言改进。” 1.0版未明确要求进行身份验证,这导致了部门之间的混乱。

DFS法规包括22条单独的条款,涵盖政策,程序和实施,要求金融服务组织更好地保护数据。下面将更详细地描述其两个规定:多因素身份验证和应用程序安全性。

第500.12节:多因素身份验证

(生效日期:2018年3月1日)

基于风险评估,必须实施有效的控制措施,以防止未经授权访问非公共信息或信息系统。控件可以包括多因素身份验证(MFA)或基于风险的身份验证。总之,从外部网络访问内部网络时必须使用MFA,除非CISO已书面许可使用合理等效的或更安全的访问控制。

尽管该法规仍然需要MFA,但并没有强制要求NIST定义的特定NIST身份验证者保证水平的限制。 数字身份准则。金融服务组织可以从各种身份验证解决方案中进行选择。

自PKI智能卡问世以来,MFA技术已经走了很长一段路。金融服务组织可以在部署用户友好的安全解决方案时遵守DFS。

有人可能会争辩说,安全厂商已经实现或非常接近实现安全性和可用性之间的平衡。具有生物识别功能的移动设备为创新打开了闸门。移动设备配备了可以捕获用户面部图像和视频的高品质摄像头,以及可以利用语音识别技术的麦克风。指纹,语音和面部识别已在包括银行和保险业在内的许多行业中使用。此外,已经从一次性密码(OTP)硬件令牌迁移到安全的OTP应用程序和推送通知。结果,合规性可能只是为内部控制部署客户已经使用的技术的问题。

第500.08节:应用程序安全

(生效日期:2018年9月1日)

DFS规则强调旨在确保内部开发的应用程序使用安全开发实践以及评估,评估或测试外部开发的应用程序的安全性的过程的书面程序,指南和标准。此外,程序,指南和标准“应由CISO定期检查,评估和更新。”

假设大多数组织已经可以选中符合500.08的复选框。但是,合规性是一回事–而真正保护应用程序安全则是另一回事。随着最终用户向移动设备的不断迁移,金融服务组织应屏蔽和强化移动应用程序,并将这一重要步骤纳入其产品开发和发布周期,以保护数据和交易的完整性。

移动应用程序提供了易用性和从智能手机的即时访问功能,但在执行过程中可能增加对恶意软件和实时攻击的暴露。通过添加移动应用程序屏蔽,金融机构可以选择:

  • 导致应用程序在检测到安全问题时终止;要么
  • 向应用程序提供一条通知,其中指定了安全检查结果,以便应用程序可以决定如何进行操作(例如,向用户通知潜在的安全风险)。

NAIC保险数据安全示范法

2017年12月,全国保险专员协会(NAIC)通过了 保险数据安全示范法,充分利用了DFS网络安全要求中的许多规定。

鉴于过去几年影响保险业的大规模违规行为,令人惊讶的是,示范法中未包含多因素认证要求。但是,示范法确实建议使用有效的控制措施,其中可能包括MFA。如果各州在全国范围内采用和实施示范法,而忽略了MFA,那将是非常令人惊讶的。 

身份管理和多因素身份验证在网络安全中起着至关重要的作用。如果组织部署了MFA解决方案而不是依靠静态密码,则可以避免太多的近期违规情况。纽约DFS,NIST和NAIC采取的行动加强了对金融服务以及所有企业的需求,以利用现代技术来保护敏感信息。

版权© 2018 IDG通讯,Inc.