证券交易:美国证券交易委员会报告突出了网络安全防范方面的最佳(和最差)做法

2015年2月3日,美国证券交易委员会发布了一份风险预警,针对经纪公司和咨询公司的网络安全问题,并就如何保护自己和自己的网络账户向投资者提供了建议。美国金融业监管局发布了一份类似的、更广泛的报告。关于网络安全实践的报告“ 在同一天。

全国考试计划风险警报,“网络安全检查扫描摘要根据美国证券交易委员会合规检查和检查办公室(“OCIE”)进行的检查,总结了57家注册经纪交易商和49家注册投资顾问的网络安全实践和政策。这些发现应由负责网络安全保护的cos和cio审查,因为它们突出了最佳实践和有待改进的成熟领域。我们有理由认为,SEC和FINRA都将期待这些公司审查调查结果,并相应地调整自己的内部评估和做法,以改善其网络安全状况。他们还强调,最简单的网络相关诈骗(网络钓鱼、欺诈性电子邮件诈骗等)仍然非常成功。

通过背景,2014年3月26日,SEC赞助了一个网络安全,突出了网络安全在确保市场体系的完整性方面的作用。2014年4月15日,Ocie宣布,它将进行一系列考试,以“评估证券行业的网络安全准备,并获取有关该行业最近与某些类型的网络威胁的经验的信息。”作为考试的一部分,Ocie解释说,它将专注于网络安全的治理,识别和评估网络安全风险,保护网络和信息,与远程客户访问和资金转移请求相关的风险,与供应商和第三方相关的风险,检测未经授权的活动,以及某些网络安全威胁的经验。虽然Ocie花了大量时间收集与实践和政策有关的信息,但它没有对公司的网络安全相关方案进行任何技术审查。

不出所料,据报道,绝大多数经纪人经销商(88%)和顾问(74%)经历了一种或其他人的网络角质。其中最常见的是简单的欺诈性电子邮件诈骗,这是超过25%的时间。虽然经纪人经销商普遍向金融罪行执法网络(FINCEN)报告了这些事件,但很少有人向执法报告了这些案件。哪里可以下载亚博

我们可以从证交会的警告中得到许多教训,包括:

  • 受调查的经纪商和经销商和顾问经常依靠外部标准来建模他们的信息安全架构和流程,例如NIST(国家标准和技术研究所)。
  • 虽然大多数公司都会定期进行全公司范围的网络安全风险评估,但很少有公司会让他们的供应商——攻击者的常见切入点——接受类似的审查。
  • 许多公司(特别是财务顾问)未能要求供应商通过将安全要求纳入与供应商的协议来进行充足的网络安全评估。
  • 准备更充分的公司更广泛地使用行业信息共享网络,如FS-ISAC(“金融服务信息共享和分析中心”)、同行和会议,以确定改善其网络安全的最佳实践。
  • 对于拥有客户资产的公司,当公司负责客户与网络事件相关的损失以及提前实施相关政策和程序时,重要的是。这些应与客户协议一致。
  • 不成熟的欺诈性电子邮件诈骗继续是一个重要问题,并且很大程度上是成功的,因为个人员工无法遵循既定客户身份核查政策。不足以实施强大的政策和程序 - 公司必须不断教育,培训和提醒员工不偏离他们。
  • 公司对内部威胁行动者的持续警惕似乎是成功的,因为员工不当行为导致资金或证券被挪用的事件发生率相对较低。
  • 大约一半的经纪人经销商和五分之一的顾问维持网络安全事件造成的损失保险,这一措施可能希望考虑许多公司。

外带:Ocie的考试说,很多关于SEC和其他监管机构认为应该在网络安全中强调的内容。公司应该考虑自己注意到预期的通知,以及他们应该关注的地方。通过加密或网络威胁情报共享,重点关注改善自己的网络的技术安全防御和措施。公司还必须花费资源来解决通过第三方供应商引入网络中的网络安全漏洞,并改善内部员工的安全培训,以确保严格遵守既定的安全计划和身份认证协议。

如需更多行业资讯,请浏览我们的证券诉讼博客