Departament Usług Finansowych stanu Nowy Jork wystosował wytyczne dotyczące przestrzegania sankcji nałożonych na Rosję

Największe banki i instytucje w kraju, jak i stanowe departamenty finansowe monitorują eskalację konfliktu między Rosją a Ukrainą, w celu przygotowania się na potencjalne sankcje gospodarcze lub cyberataki ze strony Rosji.

Steve Silberstein, dyrektor naczelny Financial Services Information Sharing and Analysis Center, grupy, która dzieli się cyberinteligencją w branży finansowej, napisał w oświadczeniu, że ich „globalny zespół wywiadowczy utworzył odpowiednie kanały komunikacji, aby wyposażyć branżę usług finansowych w istotne informacje i wskazówki dotyczące cyberbezpieczeństwa”.

W związku z nałożonymi na Rosję sankcjami Departament Usług Finansowych stanu Nowy Jork (DFS) wydał wytyczne na temat ich przestrzegania oraz przepisów dotyczących cyberbezpieczeństwa i wirtualnej waluty.

Cyberbezpieczeństwo

Rosyjska inwazja na Ukrainę znacząco podnosi cyberzagrożenie dla amerykańskiego sektora finansowego. Trwające rosyjskie cyberataki na Ukrainę mogą rozlać się i uszkodzić sieci poza Ukrainą – jak miało to miejsce w przeszłości.

Eskalacja napięcia między USA a Rosją zwiększa również ryzyko, że rosyjscy cyberprzestępcy bezpośrednio zaatakują amerykańską infrastrukturę w odwecie za sankcje podjęte przez rząd USA.

DFS zaleca wszystkim podmiotom w branży:

1. Przejrzenie swoich programów, aby zapewnić pełną zgodność z prawem, ze szczególnym uwzględnieniem podstawowych środków cyberbezpieczeństwa – uwierzytelnianie wieloskładnikowe („MFA”), zarządzanie dostępem uprzywilejowanym, zarządzanie lukami w zabezpieczeniach oraz wyłączanie lub zabezpieczanie dostępu za pomocą protokołu zdalnego pulpitu („RDP”).
2. Przejrzenie, aktualizacja i przetestowanie ich reakcje na incydenty – skoncentruj się na oprogramowaniu ransomware.
3. Przejrzenie i zastosowanie praktyk, które nie zostały jeszcze wprowadzone w wytycznych Departamentu dotyczących oprogramowania ransomware z czerwca 2021 roku, które określają kluczowe mechanizmy kontroli zmniejszające ryzyko destrukcyjnych cyberataków. Podmioty podlegające regulacji powinny natychmiast potwierdzić, że posiadają kopie zapasowe, które będą chronione przed atakiem ransomware oraz zaktualizowany plan reagowania na incydenty.
4. Przeanalizowanie ponownie swoich planów utrzymania podstawowych usług, ochrony krytycznych danych i zachowania zaufania klientów, biorąc pod uwagę realistyczne zagrożenie z zakłóceniami serwisu.
5. Zapewnienie wszystkim pracownikom dodatkowego szkolenia w zakresie świadomości cyberbezpieczeństwa.
6. Kierownictwo wyższego szczebla, rady dyrektorów i inne organy zarządzające podmiotów regulowanych powinny sprawować nadzór nad całym takim planowaniem i wdrażaniem.
7. Podmioty podlegające regulacji powinny również uważnie śledzić wskazówki i ostrzeżenia Agencji Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury („CISA”) oraz Centrów Wymiany i Analizy Informacji („ISAC”).
8. Wskaźniki kompromitacji („IOC”) dla znanych cyberprzestępców powinny być natychmiast włączone do mechanizmów obronnych sieci.

Ponadto podmioty regulowane, które prowadzą działalność gospodarczą na Ukrainie i/lub w Rosji, powinny podjąć zwiększone środki w celu monitorowania, kontrolowania i izolowania ruchu z ukraińskich lub rosyjskich biur i dostawców usług, w tym za pośrednictwem wirtualnych sieci prywatnych („VPN”).

Podmioty podlegające regulacji powinny dokonać przeglądu reguł zapory sieciowej, usługi Active Directory i innych mechanizmów kontroli dostępu oraz powinny oddzielić sieci dla biur ukraińskich lub rosyjskich od sieci globalnej.

Podmioty podlegające regulacji powinny w ciągu 72 godzin zgłaszać zdarzenia związane z cyberbezpieczeństwem centrum zasobów dotyczących cyberbezpieczeństwa oraz niezwłocznie organom ścigania, w tym FBI i CISA.

Sankcje

Prezydent Stanów Zjednoczonych i inni przywódcy na całym świecie nałożyli surowe sankcje gospodarcze na rosyjskie osoby, banki i inne podmioty. Biuro Kontroli Aktywów Zagranicznych Departamentu Skarbu USA („OFAC”) wydało nakazy i wytyczne dotyczące wdrażania tych sankcji.

Wszystkie nakazy i wytyczne dotyczące sankcji, w tym podmiotów finansowych znajdujących się na liście Specially Designated Nationals („SDN”), są dostępne na stronie internetowej Departamentu Skarbu USA https://home.treasury.gov/policy-issues/financial-sanctions/specially-designated-nationals-list-data-formats-data-schemas. Podmioty objęte regulacjami mogę się rejestrować na stronie w celu otrzymania aktualizacji listy.

Osobom z USA (w tym między innymi bankom, firmom zajmującym się wirtualną walutą, ubezpieczycielom i innym instytucjom finansowym, a także producentom ubezpieczeń i administratorom będącym osobami trzecimi) zabrania się angażowania w jakiekolwiek transakcje finansowe z osobami z listy SDN. Restrykcje te są zniesione, jeśli OFAC zezwoli na odbycie konkretnej transakcji lub zastosuje specjalne licencje wymienione na stronie OFAC.

Podmioty regulowane powinny niezwłocznie podjąć następujące działania:

1. Monitorować w czasie rzeczywistym wszelką komunikację z DFS, Departamentu Skarbu USA, OFAC i innych agencji federalnych, aby być na bieżąco z najnowszymi wydarzeniami, zapewnić zgodność ich systemów, programów i procesów ze wszystkimi wymaganiami i nałożonymi ograniczeniami.
2. Przejrzeć swoje programy monitorowania i filtrowania transakcji, aby wprowadzić wszelkie modyfikacje, które są niezbędne do ich systemów, uchwycić nowe sankcje oraz zapewnić ciągłą zgodność ze wszystkimi obowiązującymi przepisami i regulacjami.
3. Monitorować wszystkie transakcje przechodzące przez ich instytucje, w szczególności transakcje finansowania handlu i transfery środków, identyfikować i blokować transakcje podlegające sankcjom OFAC i postępować zgodnie ze wskazówkami OFAC dotyczącymi wszelkich zablokowanych środków.

Upewnij się, że ich polityki i procedury zgodności OFAC są stale aktualizowane w celu uwzględnienia tych sankcji i wszelkich nowych sankcji, które mogą zostać nałożone na dodatkowe podmioty.

Wirtualna waluta

Rosyjska inwazja znacząco zwiększa również ryzyko, że transfery walut wirtualnych mogą być wykorzystywane do omijania sankcji wobec osób i podmiotów znajdujących się w wykazie, w tym poprzez przesyłanie wirtualnej waluty do lub od użytkowników znajdujących się w kompleksowo sankcjonowanych jurysdykcjach.

Wszystkie podmioty regulowane zaangażowane w działalność biznesową związaną z wirtualną walutą, w tym między innymi BitLicensee lub Limited Purpose Trust Company — muszą mieć dostosowane polityki, procedury i procesy w celu ochrony przed unikalnymi zagrożeniami, jakie stwarza wirtualna waluta, w tym poprzez wdrożenie istniejących wytyczne federalne i departamentalne dotyczące przestrzegania sankcji.

Do wytycznych między innymi należą:

1. Wytyczne OFAC dotyczące zgodności z sankcjami dla branży walut wirtualnych.
2. Part 200 Virtual Currencies, a w szczególności Section 200.15 Anti-Money Laundering Program.
3. Podmioty podlegające regulacji powinny zwracać szczególną uwagę na skuteczność środków kontrolnych związanych z wirtualną walutą, w tym m.in. listę sankcji, weryfikacji geograficznej i wszelkich innych środków istotnych dla konkretnego profilu ryzyka każdego podmiotu.

Przykłady kontroli wewnętrznej specyficznej dla waluty wirtualnej obejmują:

1. Korzystanie z narzędzi geolokalizacyjnych oraz funkcji identyfikacji i blokowania adresów IP w celu wykrywania potencjalnych problemów i zapobiegania im.
2. Narzędzia do monitorowania transakcji, analizy łańcucha bloków – blockchain, służące do identyfikowania aktywności transakcji obejmującej adresy walut wirtualnych lub inne informacje identyfikujące związane z osobami i podmiotami objętymi sankcjami wymienionymi na liście SDN lub znajdującymi się w jurysdykcjach objętych sankcjami.
3. Podmioty podlegające regulacji powinny posiadać procedury i procesy w celu wdrożenia niezbędnych kontroli wewnętrznych, wraz z odpowiednim szkoleniem, oceną ryzyka oraz testami i audytami pod kątem ich profilu ryzyka.

Posłuchaj naszych Podcastów: