Cybersecurity in New York en de keten

Vorig jaar augustus maakte de DFS bekend aan de sector die het controleert nieuwe eisen te gaan stellen. De toezichthouder eiste dat binnen een jaar alle financials en verzekeraars in de staat New York meer aan cybersecurity gingen doen. De overgangsfase is voorbij, de regel is nu van kracht en dat betekent nog al wat.

Wie?

DFS staat voor Departement of Financial Services. Het is de toezichthouder voor alles dat met geldzaken te maken heeft in de staat New York. De stad New York is de plek waar alle grote banken gevestigd zijn. Als DFS iets roept of voorschrijft raakt dat in eerste instantie alleen de stad en staat, maar het mist zijn uitwerking elders niet, omdat banken globaal opereren.

Wat?

DFS verplicht alle bedrijven in de sector te rapporteren over de stand van zaken van deze punten:

  • risico inschatting en pentests. Beiden moeten 1x per jaar worden gehouden;
  • een keer per kwartaal moeten zwakke plekken worden gezocht en gerapporteerd;
  • inzichtelijk maken wat het doet om de cybersecurity kennis van het personeel te verhogen;
  • status hoe men de best practices voor authenticeren, encryptie etc. hanteert en documenteert.

Wat er ook bij hoort is dat Incident Response meldingen moeten volgens vast schema worden gerapporteerd. Voor alle meldingen is er een portal.

Waarom?

Om de incidenten uit het verleden niet meer te hoeven meemaken. De ironie is dat DFS voor het bekend worden van de mega hack bij Equifax deze organisatie al had “geattendeerd” zich aan deze voorschriften te houden. Het ontbreken van de nodige cybersecurity maatregelen was dus al opgevallen. Deze verplichte shoppinglijst moet voorkomen dat er na Equifax nog meer drama’s van vergelijkbare omvang bekend worden.

Nou en?

Er valt zonder meer de nodige kritiek te geven op deze shoppinglijst. Het makkelijkst is waarschijnlijk de pentest. Die kan volkomen nutteloos zijn als het aantal live systemen waarop getest mag worden sterk is teruggeschroefd. De houdbaarheid van een pentest resultaat is ook maar zeer beperkt.

Je kunt ook een andere invalshoek kiezen. DFS dwingt bedrijven – op C-level!- vaker met cybersecurity bezig te zijn. De handtekeningen kunnen forse consequenties hebben als de werkelijkheid geheel anders blijkt te zijn. Het is daarmee een stok achter de deur die de partijen die het direct betreft niet makkelijk kunnen negeren.

Wat ook het geval is, is dat deze maatregel verder gaat dan alleen de direct aangeschrevenen. Wat de lobbyisten die hier tegen pleitten steeds beweerden is dat het de (onder-) aannemers opzadelt met meer papierwerk en eisen. Juist dat is een voordeel van deze regel. Het HQ van een bank moet niet alleen naar de eigen medewerkers en eigen IT kijken. Het moet ook meer zicht krijgen op wat de externe IT leveranciers doen. Men kan zich niet meer verschuilen achter een contract en een sla.

Keten

DFS bereikt met deze betrekkelijk simpele maatregel dat er vaker en beter over het begrip keten gaat worden nagedacht. Dat lijkt vervelend voor al die onderaannemers die slechts een marginale cloud dienst of een mini stukje connectiviteit leveren. Maar ook zij hebben er baat bij dat de opdrachtgever over meer kundig personeel beschikt.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.