Wymagania FFIEC dotyczące uwierzytelniania wieloskładnikowego (MFA) w instytucjach finansowych

Ostatnia aktualizacja dnia 1 września 2025

W dzisiejszym, coraz bardziej cyfrowym krajobrazie, bezpieczeństwo instytucji finansowych jest ważniejsze niż kiedykolwiek wcześniej. Federalna Rada Egzaminacyjna Instytucji Finansowych (FFIEC) ustanowiła kompleksowe wytyczne mające na celu zapewnienie ochrony wrażliwych danych i systemów finansowych. Do kluczowych zaleceń należy wdrożenie uwierzytelniania wieloskładnikowego (MFA) w celu wzmocnienia środków bezpieczeństwa przed ewoluującymi zagrożeniami cybernetycznymi.

Co to jest FFIEC?

FFIEC to organ rządowy, który dostarcza jednolite zasady, standardy i formularze raportów dla federalnych kontroli instytucji finansowych. W jego skład wchodzą przedstawiciele Rady Gubernatorów Systemu Rezerwy Federalnej, Federalnej Korporacji Ubezpieczeń Depozytów (FDIC), Krajowej Administracji Unii Kredytowych (NCUA), Urzędu Kontrolera Waluty (OCC) oraz Biura Ochrony Konsumentów Finansowych (CFPB). Wytyczne rady stanowią punkt odniesienia dla utrzymania solidnych protokołów bezpieczeństwa w instytucjach finansowych.

Znaczenie MFA w instytucjach finansowych

Uwierzytelnianie wieloskładnikowe (MFA) to środek bezpieczeństwa, który wymaga więcej niż jednego czynnika uwierzytelniania w celu sprawdzenia tożsamości użytkownika na potrzeby logowania lub innej transakcji. Zwykle obejmuje to kombinację dwóch lub więcej z poniższych:

• Coś, co wiesz: Hasło lub PIN.
• Coś co masz: Karta inteligentna, urządzenie mobilne lub klucz bezpieczeństwa FIDO.
• Coś, czym jesteś: Weryfikacja biometryczna, np. odciski palców lub rozpoznawanie twarzy.

W jaki sposób uwierzytelnianie MFA może pomóc instytucjom finansowym zachować bezpieczeństwo?

Włączenie uwierzytelniania wieloskładnikowego oraz zastosowanie zasady najmniejszych uprawnień dla dostępu użytkowników może znacznie zwiększyć poziom bezpieczeństwa. Takie podejście skutecznie chroni firmę przed stratami finansowymi i wyciekami danych spowodowanymi różnorodnymi zagrożeniami. Pomaga również zmniejszyć ryzyko nieautoryzowanego dostępu, który mógłby prowadzić do zmian w konfiguracji systemu, eksfiltracji danych lub ruchu lateralnego atakujących w sieci lub systemie.

Wytyczne FFIEC i MFA

Wytyczne FFIEC dotyczące uwierzytelniania i dostępu do usług i systemów instytucji finansowych podkreślają konieczność wdrożenia uwierzytelniania wieloskładnikowego jako elementu strategii cyberbezpieczeństwa instytucji finansowych. Zalecenie to jest odpowiedzią na znaczące ryzyko związane z zagrożeniami cybernetycznymi, szczególnie tymi, które celują w systemy uwierzytelniania jednoskładnikowego.

Kluczowe punkty wytycznych FFIEC:

1. Ocena ryzyka:
   • Instytucje finansowe powinny przeprowadzać regularne oceny ryzyka w celu identyfikowania i ograniczania zagrożeń związanych z uwierzytelnianiem.
   • Należy zidentyfikować wszystkich użytkowników i klientów wymagających uwierzytelniania i kontroli dostępu, w tym tych, którzy wymagają środków bezpieczeństwa, takich jak uwierzytelnianie wieloskładnikowe (MFA).
   • Ocena powinna objąć wszystkie systemy informatyczne, usługi bankowości cyfrowej oraz użytkowników, w tym klientów, pracowników i osoby trzecie.
2. Warstwowe bezpieczeństwo:
   • Należy przyjąć wielowarstwowe podejście do bezpieczeństwa, obejmujące wiele kontroli bezpieczeństwa, w tym zapobiegawczych, detekcyjnych i korygujących.
   • W ramach tego warstwowego bezpieczeństwa należy wdrożyć uwierzytelnianie MFA, szczególnie tam, gdzie uwierzytelnianie jednoskładnikowe zostanie uznane za niewystarczające.
3. Monitorowanie i tworzenie dzienników:
   • Instytucje powinny ustanowić solidne procesy monitorowania, tworzenia dzienników i raportowania, aby wykrywać i reagować na próby nieautoryzowanego dostępu.
4. Edukacja i świadomość:
   • Należy wdrożyć programy ciągłej edukacji użytkowników i klientów w celu podnoszenia świadomości na temat zagrożeń związanych z uwierzytelnianiem i najlepszych praktyk.

---

Zwiększ swoje bezpieczeństwo cyfrowe dzięki Rublon Newsletter

Zanurz się w świecie aktualnych informacji i profesjonalnych wskazówek na temat cyberbezpieczeństwa wysyłanych na Twoją skrzynkę odbiorczą. Kliknij na poniższy przycisk, aby dołączyć do naszej społeczności i wyposażyć się w niezbędne narzędzia zapewniające bezpieczne korzystanie z Internetu.

---

Wdrażanie uwierzytelniania MFA: najlepsze praktyki dla zgodności z wymogami FFIEC

Aby skutecznie spełnić wymagania FFIEC dotyczące uwierzytelniania wieloskładnikowego (MFA), instytucje finansowe mogą zastosować następujące najlepsze praktyki:

1. Kompleksowa ocena ryzyka

Wykonuj regularne i dokładne oceny ryzyka, aby zrozumieć potencjalne zagrożenia dla Twoich systemów i danych. Identyfikuj transakcje i użytkowników wysokiego ryzyka, którzy wymagają wzmocnionej kontroli uwierzytelniania, i zabezpieczaj ich za pomocą uwierzytelniania wieloskładnikowego (MFA).

2. MFA odporne na phishing

Wdróż odporne na phishing uwierzytelnianie MFA do zabezpieczenia dostępu do krytycznych zasobów przy użyciu kluczy bezpieczeństwa FIDO. Odporność na phishing jest kluczowym wymogiem dla systemu MFA, który chroni prywatne informacje i zabezpiecza transakcje finansowe. Włączenie odpornego na phishing MFA zapewnia maksymalną ochronę przed zagrożeniami cybernetycznymi, które stanowią znaczące ryzyko dla usług finansowych.

3. Pozapasmowe uwierzytelnianie MFA

W sytuacjach, gdy użycie kluczy bezpieczeństwa odpornych na phishing jest strukturalnie lub finansowo niewykonalne, należy użyć uwierzytelniania pozapasmowego. Uwierzytelnianie wieloskładnikowe powinno korzystać z bezpiecznego kanału uwierzytelniania dla drugiego czynnika uwierzytelniania. Może to być realizowane w formie metody uwierzytelniania Powiadomienie mobilne wysyłanej na telefon pracownika za pomocą aplikacji mobilnej Rublon Authenticator. Takie podejście jest zgodne z definicją urządzeń poza pasmem w sekcji 5.1.3 wytycznych NIST SP 800-63B dotyczących zarządzania tożsamością cyfrową i uwierzytelnianiem.

4. Blokada biometryczna

Zachęcaj swoich użytkowników do używania blokady biometrycznej w aplikacji uwierzytelniającej MFA, takiej jak Rublon Authenticator, zainstalowanej na urządzeniu użytkownika. Takie aplikacje uwierzytelniające, które obsługują blokady biometryczne, mogą pomóc w zmianie uwierzytelniania dwuskładnikowego na uwierzytelnianie trójskładnikowe, co skutecznie poprawia ogólne bezpieczeństwo procesu uwierzytelniania.

5. Solidne polityki dostępu 

Stosuj polityki bezpieczeństwa na poziomie aplikacji i grup użytkowników, aby uzyskać pełną kontrolę nad aplikacjami, użytkownikami i grupami użytkowników. Polityki dostępu mogą pomóc w zarządzaniu organizacją na poziomie granularnym, zgodnie z architekturą zarządzania dostępem opartego na politykach (PBAC).

6. Warstwowe podejście do bezpieczeństwa

Uwzględnij wiele warstw zabezpieczeń, aby chronić przed nieautoryzowanym dostępem. Obejmuje to używanie uwierzytelniania MFA w połączeniu z innymi środkami bezpieczeństwa, takimi jak szyfrowanie, wylogowywanie użytkowników po określonym czasie oraz segmentacja sieci.

7. Uwierzytelnianie wieloskładnikowe w całej organizacji

W miarę możliwości włącz MFA we wszystkich aplikacjach, punktach końcowych, serwerach i VPN-ach. Chronieni powinni być wszyscy użytkownicy, łącznie z użytkownikami zdalnymi, którzy uzyskują dostęp do sieci firmowej za pośrednictwem oprogramowanie do zdalnego dostępu, a także partnerami i kontrahentami, którzy wymagają ograniczonego dostępu. Zawsze miej na uwadze inne przepisy dotyczące cyberbezpieczeństwa, takie jak PCI DSS, SOX, NY-DFS 23 NYCRR Part 500, GLBA, NAIC, DORA i FTC Safeguards Rule. Instytucje finansowe powinny wdrażać MFA w szerokim i kompleksowym kontekście, aby były zgodne zarówno z obecnymi, jak i przyszłymi wymaganiami dotyczącymi cyberbezpieczeństwa.

8. Ciągłe monitorowanie i reagowanie na incydenty

Wdróż monitorowanie ciągłe i twórz dzienniki aktywności użytkowników w celu szybkiego identyfikowania i reagowania na podejrzane zachowania. Utrzymuj szczegółowe dzienniki uwierzytelniania i audytu, aby odtworzyć zdarzenia i promować odpowiedzialność.

9. Regularne aktualizacje i poprawki

Zapewnij regularne aktualizacje i poprawki całego oprogramowania i sprzętu, aby chronić je przed znanymi lukami w zabezpieczeniach. Obejmuje to systemy e-mail, przeglądarki internetowe i oprogramowanie do zdalnego dostępu.

10. Szkolenie i edukacja użytkowników

Zapewnij cykliczne szkolenia dla pracowników i klientów na temat znaczenia uwierzytelniania wieloskładnikowego oraz rozpoznawania i unikania phishingu i innych ataków socjotechnicznych.

Jak Rublon MFA spełnia wymagania FFIEC

Tytuł	Wymóg	Rublon MFA
II.C.5 Inwentaryzacja i klasyfikacja aktywów	„Po zinwentaryzowaniu aktywów, kierownictwo powinno sklasyfikować informacje zgodnie z odpowiednim wymaganym poziomem ochrony. Na przykład systemy zawierające wrażliwe informacje o klientach mogą wymagać kontroli dostępu w oparciu o obowiązki służbowe.”	Wymusza polityki dostępu oparte o grupy użytkowników lub typ aplikacji, zapewniając dostęp do poufnych informacji wyłącznie upoważnionym pracownikom.
II.C.7 Środki kontroli bezpieczeństwa użytkownika	„Użytkownicy powinni mieć dostęp do systemów, aplikacji i baz danych w zależności od ich obowiązków służbowych.”	Pozwala na tworzenie grup użytkowników odpowiadających zakresowi obowiązków służbowych, umożliwiając dostosowywanie dostępu do systemów, aplikacji i baz danych w oparciu o rolę i obowiązki użytkownika w organizacji.
II.C.7(a) Kontrola bezpieczeństwa w praktykach zatrudniania	„Oprócz wstępnej kontroli kierownictwo powinno zachować czujność w związku ze zmianami w sytuacji osobistej pracowników i kontrahentów, które mogą zwiększać zachęty do niewłaściwego wykorzystania systemu lub oszustw.”	Umożliwia ustawienie typu rejestracji użytkownika na ręczny, co wymaga od administratorów zaakceptowania każdego użytkownika, zanim będzie można go zarejestrować w scentralizowanej konsoli administracyjnej.
II.C.7(c) Podział obowiązków	„Biorąc pod uwagę tak szeroki dostęp, kierownictwo powinno poddać analizie proces ustalania, którym osobom należy przyznać uprawnienia administratora systemu. Dostęp taki powinien być odpowiednio monitorowany pod kątem nieupoważnionych lub niewłaściwych działań.”	Daje administratorom z rolą Owner możliwość dodawania, edytowania i usuwania administratorów, a także zmiany roli administratora, tak aby dostosować poziom ich uprawnień. Zawiera Dzienniki audytu, które wyświetlaj listę wszystkich działań administratorów.
II.C.9 Kontrole sieciowe	„Kierownictwo powinno zabezpieczyć dostęp do sieci komputerowych poprzez wielowarstwową kontrolę dostępu, wykonując następujące czynności:[…] Wdrożenie odpowiednich kontroli w sieciach przewodowych i bezprzewodowych.”	Zabezpiecza zdalny dostęp poprzez integrację uwierzytelniania MFA z VPN-ami, usługami pulpitu zdalnego Microsoft (RDS), SSH dla systemu Linux i innym oprogramowaniem do zdalnego dostępu, zapewniając, że tylko uwierzytelnieni użytkownicy będą mieli zdalny dostęp do sieci.
II.C.14 Łańcuch dostaw	„W procesie identyfikacji ryzyka kierownictwo powinno zidentyfikować czynniki, które mogą zwiększać ryzyko ataków na łańcuch dostaw i zareagować, stosując odpowiednie środki ograniczające ryzyko.”	Zwiększa bezpieczeństwo dostępu i interakcje cyfrowe w łańcuchu dostaw poprzez wprowadzneie odpornego na phishing wieloskładnikowego uwierzytelniania (MFA).
II.C.15(a) Dostęp do systemu operacyjnego	„Administratorzy systemów i zabezpieczeń powinni ograniczać i monitorować uprzywilejowany dostęp do systemów operacyjnych i narzędzi systemowych”. „Jeśli to mozliwe, zabraniaj zdalnego dostępu do systemu operacyjnego i narzędzi systemowych lub przynajmniej wymagaj silnego uwierzytelniania i szyfrowanych sesji przed zezwoleniem na taki zdalny dostęp.”	Zabezpiecza lokalny i zdalny dostęp do systemów operacyjnych (Logowania do systemu Windows, połączenia RDP i podniesienie uprawnień UAC w systemie Windows oraz SSH w systemie Linux) przy użyciu złożonego „silnego uwierzytelniania” w postaci uwierzytelniania MFA, które obejmuje polityki dostępu umożliwiające wyłączenie lub ograniczenie dostępu dla danych aplikacji lub grup użytkowników oraz uzyskanie tymczasowego, minimalnego poziomu dostępu za pomocą Kodów pominięcia Bypass Codes.
II.C.15(b) Dostęp do aplikacji	„Kierownictwo powinno wdrożyć skuteczną kontrolę dostępu do aplikacji, wykonując następujące czynności: Wdrożenie niezawodnej metody uwierzytelniania zgodnej z krytycznością i wrażliwością aplikacji. Zmniejszenie obciążeń administracyjnych związanych z zarządzaniem prawami dostępu do aplikacji poprzez wykorzystanie profili grupowych. Indywidualne zarządzanie prawami dostępu może prowadzić do niespójnych lub niewłaściwych poziomów dostępu.”	Umożliwia zabezpieczenie aplikacji chmurowych i lokalnych przy użyciu wielopoziomowego uwierzytelniania odpornego na phishing. Daje administratorom możliwość egzekwowania polityk dostępu opartych na aplikacjach i grupach użytkowników, co ułatwia zarządzanie.
II.C.15(c) Dostęp zdalny	„Kierownictwo powinno opracować polityki gwarantujące, że zdalny dostęp pracowników, niezależnie od tego, czy korzystają z urządzeń instytucji, czy urządzeń będących własnością prywatną, będzie zapewniany w bezpieczny i solidny sposób. Takie polityki i procedury powinny określać, w jaki sposób instytucja zapewnia dostęp zdalny oraz mechanizmy kontroli niezbędne do zapewnienia bezpiecznego dostępu zdalnego.”	Włącza uwierzytelnianie MFA dla VPN za pomocą protokołów RADIUS, LDAP lub SAML. Włącza uwierzytelnianie MFA dla oprogramowania pulpitu zdalnego, takiego jak protokół pulpitu zdalnego (RDP), Remote Desktop Gateway (RDG), Remote Desktop Web Access, Remote Desktop Web Client i inne. Włącza uwierzytelnianie MFA, umożliwiając w ten sposób korzystanie z niezawodnych metod uwierzytelniania (w tym odpornych na phishing kluczy bezpieczeństwa FIDO U2F i FIDO2 oraz kluczy dostępu FIDO2) w celu uzyskania dostępu do bezpiecznej komunikacji. Umożliwia wyłączenie lub ograniczenie zdalnego dostępu, jeśli nie jest potrzebny w danym momencie lub do danego zasobu.
II.C.15(d) Korzystanie z urządzeń zdalnych	„Rejestruj komunikację zdalnego dostępu (w tym datę, godzinę, użytkownika, lokalizację użytkownika, czas trwania i aktywność), analizuj dzienniki w odpowiednim czasie i monitoruj anomalie”. „Wdrażaj niezawodne metody uwierzytelniania w celu uzyskania zdalnego dostępu”.	Zapisuje wszystkie informacje o dostępie zdalnym w dziennikach uwierzytelniania w scentralizowanej konsoli administracyjnej. Zapisuje również informacje o dostępie w pliku dziennika znajdującym się na każdym punkcie końcowym. Umożliwia użycie wielu solidnych metod uwierzytelniania w celu zabezpieczenia zdalnego dostępu.
II.C.16 Zdalny dostęp klienta do usług finansowych	„Kierownictwo powinno wykonać następujące czynności: Opracuj i utrzymuj polityki oraz procedury, aby bezpiecznie oferować i wzmacniać odporność zdalnych usług finansowych, jeśli instytucja takie usługi oferuje.”	Umożliwia zaawansowane uwierzytelnianie wieloskładnikowe odporne na phishing oraz kontrole dostępu, takie jak polityki dostępu, krótkotrwałe sesje uwierzytelniania, uwierzytelnianie poza pasmem, uwierzytelnianie mobilne z odpowiednimi możliwościami rejestracji i wyrejestrowania urządzeń mobilnych i tak dalej.
II.C.17 Bezpieczeństwo aplikacji	„Aplikacje powinny umożliwiać kierownictwu wykonywanie następujących czynności: Wdrożenie rozsądnego zestawu kontroli bezpieczeństwa (np. polityki haseł i audytu), ścieżek audytu zmian bezpieczeństwa i dostępu oraz dzienników aktywności użytkowników dla wszystkich aplikacji. Ustanowienie profili użytkowników i grup dla aplikacji, jeśli nie są one częścią scentralizowanego systemu zarządzania dostępem tożsamości.	Zabezpiecza podstawowe aplikacje bankowe, aplikacje internetowe, instalowalne aplikacje, takie jak aplikacje mobilne i wiele innych za pomocą solidnego uwierzytelniania MFA. Może chronić zarówno niestandardowe aplikacje opracowane wewnętrznie przez organizację (przy użyciu SDK) oraz te nabyte od osób trzecich (za pomocą protokołów uwierzytelniania lub dedykowanych wtyczek), o ile organizacja ma nad nimi kontrolę. Zawiera Dzienniki uwierzytelniania i dzienniki audytu, które wyświetlają listę logowań użytkowników i działań administratorów. Umożliwia tworzenie polityk dostępu opartych na grupach użytkowników i aplikacjach.
II.C.18 Bezpieczeństwo baz danych	„W przypadku kont aplikacji kierownictwo powinno wzmocnić wymagania dotyczące uwierzytelniania i monitorowania, aby zminimalizować ryzyko nieautoryzowanego użycia.”	Możliwość integracji z bazami danych poprzez protokoły RADIUS, LDAP lub SAML. w celu wymuszenia solidnego uwierzytelniania wieloskładnikowego, które minimalizuje ryzyko nieautoryzowanego dostępu i złośliwego wykorzystania.
II.C.22 Zarządzanie dziennikami	„Instytucje prowadzą dzienniki zdarzeń, aby zrozumieć incydent lub zdarzenie cybernetyczne po jego wystąpieniu. Monitorowanie dzienników zdarzeń pod kątem anomalii i łączenie tych informacji z innymi źródłami informacji poszerza zdolność instytucji do rozumienia trendów, reagowania na zagrożenia i ulepszania raportów dla kierownictwa i zarządu.”	Zawiera Dzienniki uwierzytelniania i dzienniki audytu, które wyświetlają listę logowań użytkowników i działań administratorów. Umożliwia zmianę roli administratora w celu określenia rodzaju dzienników, które dany admin może przeglądać. Umożliwia eksport dzienników do pliku CSV i systemów SIEM.

Wyrusz w bezpłatną 30-dniową podróż z uwierzytelnianiem wieloskładnikowym (MFA).

Nie ma lepszego momentu niż teraz, aby wzmocnić swoje środowisko cyfrowe! Rozpocznij 30-dniowy okres próbny Rublon MFA już dziś i osiągnij zgodność z wytycznymi FFIEC. Rublon jest prosty w konfiguracji, łatwy w użyciu i zgodny z innymi wymaganiami regulacyjnymi dla instytucji finansowych, takimi jak PCI DSS, DORA, NYDFS i inne.

Pamiętaj, że w świecie cyfrowym bezpieczeństwo nie jest przywilejem, ale koniecznością. Nie zwlekaj. Rozpocznij bezpłatny okres próbny już dziś i rozpocznij podróż ku bezpieczniejszej przyszłości razem z platformą Rublon MFA.