关键外卖:
•许多汽车经销商受到CDK的影响 全球网络攻击.
•汽车经销商需要密切关注联邦贸易委员会的保障规则.
•不遵守联邦贸易委员会保障规则的经销商可能无法免受未来的网络攻击.

CDK网络攻击 继续影响全国的汽车经销商.  理解 联邦贸易委员会的新保障规则 是至关重要的. 网络攻击正越来越多地袭击那些曾经认为自己永远不会成为攻击受害者的公司. 为了帮助解决这个问题, 经销商必须遵守保障规则,并加强其网络安全计划,以符合这一行业标准.

联邦贸易委员会对经销商的保障措施与加德纳李的视频摘要

CDK全球网络攻击:一系列类似事件中的另一个案例

严重的威胁

CDK全球, 许多经销商使用的软件即服务公司, 遭受国外黑客组织的勒索软件攻击 BlackSuit. 这次攻击暴露了私人客户数据,并大大削弱了经销商执行基本业务操作所依赖的软件服务.

经销商面临财务困境

这次袭击引发了连锁反应,导致汽车销量减少. 结果是, 许多汽车经销商在财务上受到影响,无法迅速从亏损中恢复过来.

第三方漏洞暴露

这起事件只是网络犯罪分子不会根据公司规模进行歧视的又一个例子, 收入, 以及业务类型. 在这个例子中 BlackSuit 攻击, 网络罪犯能够通过第三方侵入系统, 利用未受保护的漏洞.

介绍保障规则

应对网络安全挑战

为公司导航网络安全是具有挑战性的,对于刚刚进入信息安全领域的企业来说,可能会显得令人生畏. 确保您了解保持业务和客户数据安全所需的条件. 从长远来看,现在在网络安全上投入时间和资源将会得到回报.

联邦贸易委员会保障规则

联邦贸易委员会(FTC)实施了 安全规则 保护企业抵御网络风险,提供安全底线. 保障规则引入了几项重要要求,以确保所有“从事金融性质活动”的企业都遵守与其他金融机构相同的安全法规.

谁必须遵守

联邦贸易委员会授权 所有非银行金融机构都遵守这一规定. 这包括 汽车经销商, 银行, 经纪人, 账户服务商, 支票兑现, 收集机构, 信贷顾问, 还有旅行社. 通过这样做,这些业务符合金融机构所期望的安全标准.

小企业的例外情况

值得注意的是, 然而, 对于与少于5的客户信息交互的公司,确实存在一些例外,000客户(16 CFR 214.6). 具体地说,部分 314.4(b)(1)、(d)(2)、(h)及(i) 不适用哪些概述特定要求作为必要的风险评估和事件响应计划的一部分.

不遵守规定的后果

不遵守保障规则可能导致罚款和声誉损害,罚款可达100美元,每次违例000美元. 除了, 客户, 员工, 第三方可以起诉企业违反了本可以防止网络事件的合规标准.

保障措施规则是如何运作的

保护客户资料

保障规则的主要目的是保护客户信息. 首先也是最重要的, 该规则要求必须指定一个“合格的个人”来管理信息安全程序. 这可以是员工或第三方服务提供商. 该个人负责建立和维护信息安全程序.

网络安全策略

该规定还要求公司采取行动 风险评估 识别内部和外部的安全风险, 保密, 以及客户数据的可用性,以防止任何未经授权的数据使用. 换句话说, 风险评估是评估企业信息安全计划整体状态的一种非常有效的方法. 它们识别您面临的风险,并为建立强大的信息安全策略和减轻已识别的风险提供基础.

风险评估的组成部分

联邦贸易委员会指示风险评估应包括以下内容(根据 16 C.F.R. 部分314.4(b)(1)):

  • 风险评估必须包括对您所面临的已识别的安全风险或威胁进行评估和分类的标准.
  • 风险评估必须包括评估机密性的标准, 完整性, 你的信息系统和客户信息的可用性. 这包括在您所面临的已识别风险或威胁的背景下现有控制的充分性.
  • 风险评估必须概述要求,描述如何在风险评估的基础上减轻或接受已识别的风险,以及信息安全计划将如何处理风险.

实施保护措施

基于风险评估, 组织应实施适当的保护措施. 组织指南:

  • 为技术和物理应用程序实现访问控制.
  • 使用库存管理工具来识别和管理数据和资产.
  • 加密所有客户信息.
  • 对所有存储数据的系统和应用程序采用安全的开发实践, 访问, 或传输客户信息.
  • 要求对访问信息系统的员工进行多因素认证(MFA).
  • 从最后一次使用之日起两年后,除必要的商业目的或法律原因允许的例外情况外,使用安全处理/销毁客户信息的方法.
  • 采用变更管理程序.
  • 监视和记录未经授权的用户活动,以检测并通知IT人员未经授权访问客户信息的尝试.

8经销商实施FTC保障措施的保护措施

渗透测试和漏洞评估

渗透测试

该规定还要求公司每年进行一次财务报告 渗透测试. 渗透测试模拟网络攻击,主动尝试查找网络基础设施中的漏洞,并利用它们来了解您的环境对黑客的易感程度.

漏洞评估

脆弱性评估将需要对处理客户信息的系统进行全面扫描和审查. 此评估识别漏洞,并提供有关与漏洞相关的风险级别的高级信息, 它会影响哪些系统, 和其他有价值的信息用来弥补风险.

纠正任何漏洞

一旦脆弱性评估完成, 组织将收到任何弱点和潜在影响的通知. 结果是, 企业将对风险有更好的了解, 他们多么严肃, 以及如何防范它们.

从风险评估开始

进行风险评估的重要性

进行风险评估对于您识别影响组织的风险和评估公司信息安全计划的整体状态的能力至关重要. 它使您能够为创建强大的信息安全计划奠定基础,以保护客户信息并符合保障规则.

首次评估的挑战

对于第一次进行风险评估的组织以及资源和经验有限的组织来说,进行风险评估是困难的. 此外, 评估越深入, 在没有专业帮助的情况下,成功深入挖掘和全面识别风险就变得越困难.

专业的帮助

如果您的公司希望实现这些控制并变得合规, LBMC网络安全专业从事风险评估和渗透测试等咨询服务,这些服务将帮助您建立基准信息安全计划.

明升体育app下载

立即明升体育app下载,以确保您的公司符合必要的安全标准,并有效地保护客户信息.

提供的内容 加德纳李LBMC高级网络安全顾问. 加德纳李是LBMC的网络安全顾问,提供包括风险评估在内的各种服务, HIPAA差距评估, 供应商风险管理, 安全程序开发.