去年,就在纽约州一套新的网络安全法规生效后不久,纽约州报告的网络入侵事件数量创下了历史新高。
总检察长埃里克·施奈德曼(Eric Schneiderman)说,“2016年,纽约人是纽约州历史上数据接触率最高的受害者之一。在上周发布的一份声明中。“每年报告的安全漏洞总数增加了60%,暴露的个人记录数量增加了两倍。”
该报告称,被盗数据绝大部分是社会安全号码和金融账户信息,黑客攻击是导致被盗数据的主要原因。1300起数据泄露涉及160万州居民的私人数据,81%的数据泄露涉及丢失社会安全号码或财务信息。
最大的违规涉及总部位于阿尔巴尼亚的纽柯克产品公司(Newkirk Products),该公司为医疗保险计划提供身份证。其次是汇丰银行。
国家从2005年开始要求企业上报违规数据。这份报告还没有反映的影响新的网络安全法规那于三月初生效在该州经营业务的金融机构。
然而,该公司第三方战略高级主管布拉德•凯勒(Brad Keller)表示,这表明纽约看到了问题正在恶化普遍。
他说:“我怀疑,纽约之所以制定这些规定,是因为他们感觉到、看到或听到网络安全事件有所增加。”“数据支持他们的行动,这一事实告诉我,纽约州监管机构正在密切关注事态的发展。”
他指出,新规定影响了在该州开展业务的金融公司,要求企业采取额外措施,监督供应商和业务合作伙伴的安全。
纽柯克事件造成了去年近50%的记录丢失。
凯勒说,在第三方安全方面,新规定超越了简单的网络安全最佳做法。
“一个高级主管必须对第三方程序负责,”他说。“这确实强化了第三方风险是一个董事会层面的问题。”
这意味着公司需要确保他们的安全标准也适用于他们的供应商。
他说:“我一直在建议人们,当他们着手进行网络安全控制时,他们需要考虑如何对他们的第三方服务提供商施加影响。”“它们确实需要保持同步。”
他表示,中小型企业尤其需要保持警惕,因为它们更有可能将更多关键流程外包出去。
他补充说,这对金融机构尤其重要。
他说:“如果我是一名黑客,我有理由预计,进入排名前五的金融机构比进入一家向金融机构提供服务的中型公司要困难。”“如果我接触到一个供应商,他可以访问12家银行,那么我就可以访问12家银行的数据,而不是1家。”
凯勒说,他预计新规定不会立即减少违规次数。
他说:“出于对安全专家的尊重,我认为我们有理由预计报告的事件会增加,这只是因为我们需要时间进入现场,对安全控制进行重大改进。”
这篇文章,“专家:NY breach report highlight third-party risk”最初由方案 。