为网络安全不断变化的格局做好准备

美国证券交易委员会 (SEC) 于 2023 年 4 月 5 日发布了拟议规则制定通知,概述了拟议的网络安全风险管理规则1。此外,SEC 于 2023 年 4 月 6 日发布了拟议规则制定通知,概述了对 SP 2条例的拟议变更。鉴于网络安全问题每年显着增加、遭受成功攻击的公司所承担的成本以及投资者需要了解与攻击相关的投资风险,美国证券交易委员会有充分的理由提出新的法规。

美国证券交易委员会和其他自律机构提出的规则以及拟议和颁布的立法对任何公司,特别是金融服务公司都有重大影响。这条规则,或其某种形式,将会通过。企业现在需要为此规则和类似法规做好准备,以避免业务中断以及因仓促实施解决方案而产生的额外成本。

本文探讨了与 SEC 拟议规则相关的挑战、对金融服务公司的预期影响以及公司现在如何为新规则做好准备。

成功的攻击会导致公司的网络安全计划遭到破坏。当任何数据丢失或被不良行为者复制时,公司通常会报告这些网络安全漏洞。身份盗窃资源中心估计 2021 年发生了创纪录的 1,862 起数据泄露事件。3比 2020 年增加了 68%,比 2017 年创下的 1,506 起数据泄露事件的历史最高记录高了 23%。 2022 年 IBM 数据泄露事件报告显示,83% 的组织在 2022 年经历了不止一次数据泄露。

坏人的攻击变得越来越成功。

小型企业是指员工人数少于 500 人的任何公司。许多金融服务公司,特别是财富管理领域的金融服务公司,被归类为小型企业。研究表明,40% 的网络攻击针对的是小型企业。4小型企业应该对这种威胁感到警惕,因为超过 60% 的遭受成功攻击的企业会在六个月内关门大吉5。因此,金融服务公司面临的威胁是非常现实的。

拟议的网络安全披露规则

拟议的 SEC 对 SP NPRM 法规的规则变更包括公司披露网络安全事件的时间范围。如果相关实体有合理依据断定事件已经发生或正在发生,则需要立即向 SEC 提供有关重大网络安全事件的书面通知。涵盖实体还将在 48 小时内在 EDGAR 上秘密提交新 SCIR 表格的第一部分,其中将包含有关事件的详细信息,并且如果发生重大进展,则需要不断更新。

该提案遵循了欧盟三天的要求。国会已要求美国国土安全部制定规则,要求在事件发生后三天内报告,并在一天内报告勒索软件付款情况。纽约州金融服务部要求三天内提供报告。货币监理署、联邦储备系统理事会和联邦存款保险公司要求银行组织在确定发生事件后不迟于 36 小时发出通知。

为什么需要这些规则

全球监管实体有充分理由推动快速、全面地披露网络安全事件。投资者需要了解网络安全事件。数据泄露后,网络安全事件可能会导致公司股价平均下跌 7.5% 6。公司平均需要 46 天才能将股价恢复到违规前的水平。显然,这些信息对投资者来说很重要。

股价的跌幅是在公司报告网络安全事件后才衡量的。 IBM 在其 2022 年数据安全报告中报告称,企业平均需要 277 天(大约 9 个月)才能识别和报告数据泄露凭据被盗或泄露是 2022 年数据泄露的最常见原因,这些类型的攻击需要大约 327 天的时间才能识别。

监管机构正在敦促公司更有效地识别和报告数据泄露,并通过及时披露来保护投资者。提出披露规则的监管机构数量意味着这些规则的某种形式将会获得通过。

如何准备

风险评估

许多公司希望他们的信息技术团队或提供商能够减轻网络安全风险。信息技术团队和提供商可以保护您的 IT 基础设施并提供对基础设施的监控。但拟议的规则超出了大多数 IT 提供商的能力范围。

所涵盖的实体需要根据其信息系统和其中存储的信息的清单,以及网络安全事件对所涵盖实体的潜在影响,对网络安全风险进行分类和优先级排序。所涉及的实体还需要评估与其使用这些服务提供商相关的网络安全风险。风险评估需要以书面形式记录下来。

社会工程攻击使用各种攻击媒介(包括网络钓鱼和鱼叉式网络钓鱼电子邮件)来针对您的团队成员。员工人数少于 100 人的小型企业的员工平均受到的社会工程攻击比大型企业的员工多 350% 7。这些电子邮件无法通过技术解决方案消除,您的团队成员必须接受培训以识别这些攻击。

满足风险评估要求公司审查其:

  • 防止社会工程攻击的人员;
  • 评估来自软件提供商和云服务的第三方风险的流程;和
  • 由其信息技术团队支持的技术。

我建议公司进行独立的网络安全评估,评估您的网络安全状况,而不仅仅是技术,还包括您的人员和流程。

事件响应

许多公司并不清楚发现事件后应采取的步骤。明确的事件响应计划使公司能够做出协调一致的响应,并为他们提供实现拟议规则和法规中概述的时间框架的唯一机会。

事件响应计划包括几个关键组成部分:

  • 您需要清楚地了解组织中的主要利益相关者,才能有效应对网络安全事件。这些个人或团体负责做出关键决策并采取具体行动来应对事件。

○ 事件经理,负责领导响应、管理沟通流程、向利益相关者通报最新情况并委派任务。这包括对合规和法律团队的更新。

○ 担任主题专家的技术经理。如果公司内部没有这种资源,公司可以从外部寻找这种资源。

  • 制定遏制、根除和恢复程序。

○ 遏制程序涉及隔离受影响的系统或网络以防止攻击蔓延。

○ 根除过程涉及从网络和受感染系统中消除攻击者的存在。

○ 恢复程序涉及在事件得到控制和消除后恢复正常运行。

  • 事件分析和调查是有效事件响应计划的关键组成部分。事件分析和调查的目的是:

○ 了解事件的根本原因。

○ 损坏的程度。

○ 响应程序的有效性。

现在就制定您的事件响应计划,为即将到来的规则做好准备。该计划不仅可以让您的组织为拟议的规则做好准备,还可以为潜在的威胁做好准备。如果您的公司没有经验丰富的资源,您可以寻求外部帮助来制定事件响应计划。

约翰·奥康奈尔 (John O’Connell) 是绿洲集团 (The Oasis Group) 的创始人兼首席执行官,专门帮助财富管理和科技公司解决最复杂的挑战。他最新的在线培训课程是职业生涯各个级别的金融专业人士的主要教育来源。这些课程涵盖从网络安全到托管市场等多个模块,使公司和企业能够提高技能、按照自己的节奏学习并重温课程以强化特定的学习目标。

1网络安全风险管理规则,S7-06-23,88 FED。注册。 20,212(2022 年 4 月 5 日),HTTPS://WWW.FEDERALREGISTER.GOV/DOCUMENTS/2023/04/05/2023-05767/CYBERSECURITY-RISK-MANAGEMENT-RULE-FOR-BROKER-DEALERS-CLEARING-AGENCIES-MAJOR -基于安全的交换。

2 SP 法规:消费者财务信息隐私和保护客户信息,S7-05-23,88 FED。注册。 20,616(2022 年 4 月 6 日),HTTPS://WWW.FEDERALREGISTER.GOV/DOCUMENTS/2023/04/06/2023-05774/REGULATION-SP-PRIVACY-OF-CONSUMER-FINANCIAL-INFORMATION-AND-SAFEGUARDING-CUSTOMER -信息。

3身份盗窃资源中心的 2021 年年度数据泄露报告创下了泄露数量新纪录,(2022 年 1 月 24 日),HTTPS://WWW.IDTHEFTCENTER.ORG/POST/IDENTITY-THEFT-RESOURCE-CENTER-2021-ANNUAL-DATA -违规报告设置了妥协数量的新记录/。

4小型企业趋势,“43 小型企业网络安全统计数据”(2023 年 5 月 29 日),HTTPS://SMALLBIZTRENDS.COM/2023/05/SMALL-BUSINESS-CYBERSECURITY.HTML

5 TRUEFORT,“2023 年 30 项发人深省的网络安全统计数据”(2023 年 5 月 10 日),HTTPS://TRUEFORT.COM/2023-CYBERSECURITY-STATISTICS/。

6《哈佛商业评论》,“网络泄露的毁灭性商业影响”(2023 年 5 月 4 日),HTTPS://HBR.ORG/2023/05/THE-DEVASTATING-BUSINESS-IMPACTS-OF-A-CYBER-BREACH。

7 BARRACUDA NETWORKS, INC.,“鱼叉式网络钓鱼 – 主要威胁和趋势”(2023),HTTPS://WWW.BARRACUDAMSP.COM/RESOURCES/REPORTS/SPEAR-PHISHING-THREATS-AND-TRENDS。

韭菜热线原创版权所有,发布者:风生水起,转载请注明出处:https://www.9crx.com/81747.html

(0)
打赏
风生水起的头像风生水起普通用户
上一篇 2024年3月2日 23:07
下一篇 2024年3月3日 23:55

相关推荐

  • 什么是波动性?波动市场中给长期投资者的建议

    在动荡时期,许多投资者感到惊慌并开始质疑他们的长期投资策略。对于新手投资者来说尤其如此,他们常常会忍不住完全退出市场,并在场外等待,直到看起来可以安全地重新入场。 需要认识到的是,市场波动是不可避免的。短期内波动是市场的本质。试图把握市场时机是极其困难的。一种解决方案是保持长期视野并忽略短期波动。 对于许多投资者来说,这是一个可靠的策略,但即使是长期投资者也…

    2023年7月10日
    17600
  • 伊朗袭击以色列,市场将受到何种影响?

    作者:Paul Eitelman,2024 年 4 月 17 日 执行摘要: 市场对伊朗袭击以色列的最初反应是谨慎的,标准普尔 500 指数期货上涨 0.3%。 从历史上看,地缘政治事件通常会导致股票市场小幅下跌,以及债券市场避险,其长期影响并不常见。 在伊朗袭击以色列之后,我们认为,在我们的投资组合策略中保持略微防御的态势是适当的。 我们的投资领导团队周日…

    2024年5月23日
    4200
  • 专家到底知道什么?拥抱未知

    “我们知道,有些事情是已知的,有些事情我们知道我们知道。我们也知道有些事情是已知的未知,也就是说,我们知道有些事情我们不知道。但也有一些事情是未知的,也就是我们不知道我们不知道的事情。” 美国国防部长唐纳德·拉姆斯菲尔德出席五角大楼简报会 我们假设专业专家对其知识领域了解很多,无论是在国家安全、投资、医学还是其他领域。但正如拉姆斯菲尔德的评论所强调的那样,“…

    2024年9月4日
    600
  • 耐心:通胀向美联储发出的信息

    关于美联储利率周期,有句老话:美联储上行坐扶梯,下行坐电梯。由于加息对经济有负面影响,美联储加息时通常比较有条不紊。另一方面,美联储降息历来更为激进,尤其是在应对经济衰退时。这次不同。 仅用于说明目的。 鉴于疫情导致的通胀飙升,美联储开启了 40 多年来最激进的紧缩周期——2022 年 3 月将联邦基金利率从零下限上调。从那时到去年 7 月,美联储总共加息 …

    2024年5月17日
    4100
  • 2024 年全球展望:大局

    我们对 2024 年的展望是逐步的 U 型复苏,其中包括看似混乱的经济数据变动以及政策利率和盈利增长的转折点。 尽管我们习惯于用日历年来定义投资环境,但 2024 年可能不太适合这种方法。我们预计政策利率和盈利增长可能会出现转折点,但实时识别可能并不容易。投资者可能需要退后一步,才能看到更大的前景,超越噪音和波动性。 电影 Ferris Bueller&#8…

    2024年1月2日
    4500

发表回复

登录后才能评论
客服
客服
关注订阅号
关注订阅号
分享本页
返回顶部