关键外卖:
•许多汽车经销商受到CDK的影响 全球网络攻击.
•汽车经销商需要密切关注联邦贸易委员会的保障规则.
•不遵守联邦贸易委员会保障规则的经销商可能无法免受未来的网络攻击.
的 CDK网络攻击 继续影响全国的汽车经销商. 理解 联邦贸易委员会的新保障规则 是至关重要的. 网络攻击正越来越多地袭击那些曾经认为自己永远不会成为攻击受害者的公司. 为了帮助解决这个问题, 经销商必须遵守保障规则,并加强其网络安全计划,以符合这一行业标准.
关键外卖:
•许多汽车经销商受到CDK的影响 全球网络攻击.
•汽车经销商需要密切关注联邦贸易委员会的保障规则.
•不遵守联邦贸易委员会保障规则的经销商可能无法免受未来的网络攻击.
的 CDK网络攻击 继续影响全国的汽车经销商. 理解 联邦贸易委员会的新保障规则 是至关重要的. 网络攻击正越来越多地袭击那些曾经认为自己永远不会成为攻击受害者的公司. 为了帮助解决这个问题, 经销商必须遵守保障规则,并加强其网络安全计划,以符合这一行业标准.
CDK全球, 许多经销商使用的软件即服务公司, 遭受国外黑客组织的勒索软件攻击 BlackSuit. 这次攻击暴露了私人客户数据,并大大削弱了经销商执行基本业务操作所依赖的软件服务.
这次袭击引发了连锁反应,导致汽车销量减少. 结果是, 许多汽车经销商在财务上受到影响,无法迅速从亏损中恢复过来.
这起事件只是网络犯罪分子不会根据公司规模进行歧视的又一个例子, 收入, 以及业务类型. 在这个例子中 BlackSuit 攻击, 网络罪犯能够通过第三方侵入系统, 利用未受保护的漏洞.
为公司导航网络安全是具有挑战性的,对于刚刚进入信息安全领域的企业来说,可能会显得令人生畏. 确保您了解保持业务和客户数据安全所需的条件. 从长远来看,现在在网络安全上投入时间和资源将会得到回报.
联邦贸易委员会(FTC)实施了 安全规则 保护企业抵御网络风险,提供安全底线. 保障规则引入了几项重要要求,以确保所有“从事金融性质活动”的企业都遵守与其他金融机构相同的安全法规.
的 联邦贸易委员会授权 所有非银行金融机构都遵守这一规定. 这包括 汽车经销商, 银行, 经纪人, 账户服务商, 支票兑现, 收集机构, 信贷顾问, 还有旅行社. 通过这样做,这些业务符合金融机构所期望的安全标准.
值得注意的是, 然而, 对于与少于5的客户信息交互的公司,确实存在一些例外,000客户(16 CFR 214.6). 具体地说,部分 314.4(b)(1)、(d)(2)、(h)及(i) 不适用哪些概述特定要求作为必要的风险评估和事件响应计划的一部分.
不遵守保障规则可能导致罚款和声誉损害,罚款可达100美元,每次违例000美元. 除了, 客户, 员工, 第三方可以起诉企业违反了本可以防止网络事件的合规标准.
保障规则的主要目的是保护客户信息. 首先也是最重要的, 该规则要求必须指定一个“合格的个人”来管理信息安全程序. 这可以是员工或第三方服务提供商. 该个人负责建立和维护信息安全程序.
该规定还要求公司采取行动 风险评估 识别内部和外部的安全风险, 保密, 以及客户数据的可用性,以防止任何未经授权的数据使用. 换句话说, 风险评估是评估企业信息安全计划整体状态的一种非常有效的方法. 它们识别您面临的风险,并为建立强大的信息安全策略和减轻已识别的风险提供基础.
联邦贸易委员会指示风险评估应包括以下内容(根据 16 C.F.R. 部分314.4(b)(1)):
基于风险评估, 组织应实施适当的保护措施. 组织指南:
该规定还要求公司每年进行一次财务报告 渗透测试. 渗透测试模拟网络攻击,主动尝试查找网络基础设施中的漏洞,并利用它们来了解您的环境对黑客的易感程度.
脆弱性评估将需要对处理客户信息的系统进行全面扫描和审查. 此评估识别漏洞,并提供有关与漏洞相关的风险级别的高级信息, 它会影响哪些系统, 和其他有价值的信息用来弥补风险.
一旦脆弱性评估完成, 组织将收到任何弱点和潜在影响的通知. 结果是, 企业将对风险有更好的了解, 他们多么严肃, 以及如何防范它们.
进行风险评估对于您识别影响组织的风险和评估公司信息安全计划的整体状态的能力至关重要. 它使您能够为创建强大的信息安全计划奠定基础,以保护客户信息并符合保障规则.
对于第一次进行风险评估的组织以及资源和经验有限的组织来说,进行风险评估是困难的. 此外, 评估越深入, 在没有专业帮助的情况下,成功深入挖掘和全面识别风险就变得越困难.
如果您的公司希望实现这些控制并变得合规, LBMC网络安全专业从事风险评估和渗透测试等咨询服务,这些服务将帮助您建立基准信息安全计划.
立即明升体育app下载,以确保您的公司符合必要的安全标准,并有效地保护客户信息.
提供的内容 加德纳李LBMC高级网络安全顾问. 加德纳李是LBMC的网络安全顾问,提供包括风险评估在内的各种服务, HIPAA差距评估, 供应商风险管理, 安全程序开发.