Nova York — InkDesign News — A partir de 1º de maio, empresas do setor financeiro em Nova York enfrentam obrigações rigorosas de segurança cibernética que incluem monitoramento contínuo e controle de acessos, parte da regulamentação 23 NYCRR Part 500 da NYDFS, visando proteger contra ameaças financeiras digitais.
Vetor de ataque
A implementação da norma inclui defesas contra ataques financeiros motivados, com destaque para ransomware e vulnerabilidades exploradas via acesso remoto e controle privilegiado. A regulação exige controles de acesso privilegiado (PAM), remoção de contas antigas e inativas, além de verificações básicas de higiene de senhas. Medidas técnicas adicionais obrigatórias são varreduras de vulnerabilidade, detecção de malware, registro de eventos e soluções de endpoint detection and response (EDR), essenciais para mitigar ameaças como ataques via phishing e exploração de falhas desconhecidas (zero-day).
Impacto e resposta
Desde o primeiro prazo em 1º de dezembro de 2023, as entidades financeiras devem relatar incidentes cibernéticos potencialmente danosos, incluindo ataques de ransomware. Em abril de 2024, as exigências passaram a incluir auditorias anuais de cibersegurança, treinamentos de conscientização, testes de penetração e documentação assinada pelo Chief Information Security Officer (CISO). A partir de 1º de novembro de 2024, foram adicionadas regras para criptografia, resposta a incidentes, recuperação de desastres e responsabilidades da liderança sênior.
Análise e recomendações
“Empresas parecem estar se esforçando para entender essas regras e aplicá-las da melhor forma possível. Preocupa-me que sejam demasiadamente prescritivas e problemáticas para muitas companhias. Não se trata de avaliar se essas medidas são necessárias, mas sim do risco de avaliações punitivas posteriores.”
(“Companies seem to be working hard to make sense of these rules and apply them as best they can. I am concerned that this is too problematic and overly prescriptive for many companies. It’s not that these kinds of provisions aren’t things that companies should be evaluating, but this feels very ‘gotcha’ for after-the-fact reviews.”)— Kirk J. Nahra, sócio, WilmerHale
“Empresas deveriam estar adotando essas medidas independentemente. Se nossos ativos parassem de funcionar ou dados fossem comprometidos, essas práticas fazem parte da estratégia de negócios. Regulamentações desse tipo são adequadas para o setor financeiro, que já tem alto grau de compliance.”
(“Companies should be doing all of that anyway. If the lights went off, if our assets stopped working, if something was to happen where our data would be hijacked or exfiltrated, what are we going to do? At the stage that we’re at, for mid- to large companies, that should just be part of your business [strategy].”)— Sabeen Malik, vice-presidente global de assuntos governamentais, Rapid7
O último prazo, em 1º de novembro de 2025, requer inventários completos de ativos de TI e implementação ampla de multifator (MFA) para todos os acessos, ampliando a segurança em toda a infraestrutura digital. Espera-se que essas medidas fortaleçam a resistência do setor contra ameaças sofisticadas, à medida que a regulação evolui para um modelo mais prescritivo, alinhado às necessidades dos -financeiras.
Segurança Cibernética | Ameaças
Fonte: (Dark Reading – Segurança Cibernética)
