为什么汽车经销商需要网络安全服务？

Tom Smith //

在黑山信息安全公司（BHIS），我们与各类公共和私营客户打交道。但直到一两个月前，我们还从未与汽车经销商合作过。然而在过去的几周里，我们已经与多家经销商进行了交流。

这是怎么回事？

原来，美国联邦贸易委员会（FTC）裁定汽车经销商现在必须遵守Gramm-Leach-Bliley保障规则。自2023年6月9日起，该规则适用于汽车经销商。该规则的目的是要求金融机构采取措施确保其拥有的消费者数据的安全。新变化在于，拥有5000条或更多潜在客户记录的汽车经销商现在被视为“金融机构”。如果您经营了一段时间并且每月销售不止几辆车，您就需要遵守这些新规则。

但您需要做什么才能合规？

只需遵循数据安全的基本行业最佳实践：实施信息安全计划以保护客户数据。第314.4节概述了您的信息安全计划必须包含的内容。有九项要求。

您必须：

• 指定一名合格人员监督该计划。此人可以是员工、承包商或供应商。
• 基于书面风险评估制定计划。风险评估应包括对当前安全状况充分性的诚实评估。
• 实施控制措施以减轻已识别的风险。在大多数情况下，期望是所有系统都部署多因素认证。
• 通过渗透测试评估控制措施的有效性。
• 要求与您合作的任何第三方供应商遵守合理的安全实践。
• 随着技术状况的变化，特别是根据上述渗透测试的结果，保持信息安全计划的最新状态。
• 维护书面的事件响应（IR）计划。IR计划概述了在发生数据泄露或其他数据安全事件时应采取的步骤。
• 要求合格人员至少每年向高级领导层报告状态。

不合规的机构将面临FTC处以的罚款。

如果您是因这些新规则而首次涉足网络安全的汽车经销商，可能会感到不知所措。请记住，这些是基本的行业安全实践，几乎所有除了最小型企业之外的企业都已开始推行。因此，帮助像您这样的组织的免费和低成本资源非常丰富。

BHIS可以提供帮助！

一些相关的BHIS内容：

• 让合规性不那么糟糕 | John Strand | BHIS Nuggets – YouTube
• AASLR：桌面演练和IR手册介绍（*非宗教冬季假期版本）– YouTube

如果您对合规性有进一步疑问，请随时联系consulting@blackhillsinfosec.com。

进一步阅读：

• 保障规则
• FTC保障规则：您的企业需要了解的内容 | 联邦贸易委员会
• FTC保障规则 | NADA