Det var i början av november som delstaten New Yorks finansiella tillsynsmyndighet meddelade att regelverket skärps kring finansiella företags cybersäkerhet. Informationssäkerhetsansvariga sätts i centrum för regelförändringen, där de utpekas som ansvariga för regelefterlevnaden och att interna riktlinjer följs. Vidare är styrelser, eller liknande kommittéer, ansvariga för att övervaka riskhanteringen inom cybersäkerhet och måste behålla en lämplig nivå av expertis för att förstå cybersäkerhetsfrågor, enligt reglerna.

Styrelseledamöter måste godkänna cybersäkerhetsprogram och se till att varje säkerhetsprogram har tillräckliga resurser för att fungera ändamålsenligt.

Lösensumma eller inte?

Amerikanska federala myndigheter har nyligen gått ut med ett tydligt budskap om att de inte rekommenderar företag att betala krävd lösensumma till cyberutpressare.

– Så länge som det finns pengar som flödar till dessa cyberkriminella, kommer problemen fortsätta att växa, sa Anne Neuberger, ställföreträdande nationell säkerhetsrådgivare för bland annat cybersäkerhetsfrågor, till pressen.

New York förbjuder inte utbetalande av lösensumma, men kräver av finansiella företag att de inom 24 timmar, från det att lösensumma betalats, rapporterar att så har skett och vilka som var beslutsgrunderna för beslutet.

Rapportering av incidenter

New York fortsätter dessutom kräva att finansiella företag inom 72 timmar måste meddela delstatsmyndigheterna om cybersäkerhetsincidenter, där tiden räknas från det att banken fick kännedom om händelsen.

Det är ett steg längre än de federala kraven, där inrapportering ska ske senast 96 timmar efter det att incidenten bedömts haft en kännbar effekt på det finansiella företagets verksamhet. Bristen på harmonisering mellan delstats- och federal kritiserades av bankernas lobbyorganisation.