美国证券交易委员会 (SEC) 于 2023 年 4 月 5 日发布了拟议规则制定通知,概述了拟议的网络安全风险管理规则1。此外,SEC 于 2023 年 4 月 6 日发布了拟议规则制定通知,概述了对 SP 2条例的拟议变更。鉴于网络安全问题每年显着增加、遭受成功攻击的公司所承担的成本以及投资者需要了解与攻击相关的投资风险,美国证券交易委员会有充分的理由提出新的法规。
美国证券交易委员会和其他自律机构提出的规则以及拟议和颁布的立法对任何公司,特别是金融服务公司都有重大影响。这条规则,或其某种形式,将会通过。企业现在需要为此规则和类似法规做好准备,以避免业务中断以及因仓促实施解决方案而产生的额外成本。
本文探讨了与 SEC 拟议规则相关的挑战、对金融服务公司的预期影响以及公司现在如何为新规则做好准备。
成功的攻击会导致公司的网络安全计划遭到破坏。当任何数据丢失或被不良行为者复制时,公司通常会报告这些网络安全漏洞。身份盗窃资源中心估计 2021 年发生了创纪录的 1,862 起数据泄露事件。3这比 2020 年增加了 68%,比 2017 年创下的 1,506 起数据泄露事件的历史最高记录高了 23%。 2022 年 IBM 数据泄露事件报告显示,83% 的组织在 2022 年经历了不止一次数据泄露。
坏人的攻击变得越来越成功。
小型企业是指员工人数少于 500 人的任何公司。许多金融服务公司,特别是财富管理领域的金融服务公司,被归类为小型企业。研究表明,40% 的网络攻击针对的是小型企业。4小型企业应该对这种威胁感到警惕,因为超过 60% 的遭受成功攻击的企业会在六个月内关门大吉5。因此,金融服务公司面临的威胁是非常现实的。
拟议的网络安全披露规则
拟议的 SEC 对 SP NPRM 法规的规则变更包括公司披露网络安全事件的时间范围。如果相关实体有合理依据断定事件已经发生或正在发生,则需要立即向 SEC 提供有关重大网络安全事件的书面通知。涵盖实体还将在 48 小时内在 EDGAR 上秘密提交新 SCIR 表格的第一部分,其中将包含有关事件的详细信息,并且如果发生重大进展,则需要不断更新。
该提案遵循了欧盟三天的要求。国会已要求美国国土安全部制定规则,要求在事件发生后三天内报告,并在一天内报告勒索软件付款情况。纽约州金融服务部要求三天内提供报告。货币监理署、联邦储备系统理事会和联邦存款保险公司要求银行组织在确定发生事件后不迟于 36 小时发出通知。
为什么需要这些规则
全球监管实体有充分理由推动快速、全面地披露网络安全事件。投资者需要了解网络安全事件。数据泄露后,网络安全事件可能会导致公司股价平均下跌 7.5% 6。公司平均需要 46 天才能将股价恢复到违规前的水平。显然,这些信息对投资者来说很重要。
股价的跌幅是在公司报告网络安全事件后才衡量的。 IBM 在其 2022 年数据安全报告中报告称,企业平均需要 277 天(大约 9 个月)才能识别和报告数据泄露。凭据被盗或泄露是 2022 年数据泄露的最常见原因,这些类型的攻击需要大约 327 天的时间才能识别。
监管机构正在敦促公司更有效地识别和报告数据泄露,并通过及时披露来保护投资者。提出披露规则的监管机构数量意味着这些规则的某种形式将会获得通过。
如何准备
许多公司希望他们的信息技术团队或提供商能够减轻网络安全风险。信息技术团队和提供商可以保护您的 IT 基础设施并提供对基础设施的监控。但拟议的规则超出了大多数 IT 提供商的能力范围。
所涵盖的实体需要根据其信息系统和其中存储的信息的清单,以及网络安全事件对所涵盖实体的潜在影响,对网络安全风险进行分类和优先级排序。所涉及的实体还需要评估与其使用这些服务提供商相关的网络安全风险。风险评估需要以书面形式记录下来。
社会工程攻击使用各种攻击媒介(包括网络钓鱼和鱼叉式网络钓鱼电子邮件)来针对您的团队成员。员工人数少于 100 人的小型企业的员工平均受到的社会工程攻击比大型企业的员工多 350% 7。这些电子邮件无法通过技术解决方案消除,您的团队成员必须接受培训以识别这些攻击。
满足风险评估要求公司审查其:
- 防止社会工程攻击的人员;
- 评估来自软件提供商和云服务的第三方风险的流程;和
- 由其信息技术团队支持的技术。
我建议公司进行独立的网络安全评估,评估您的网络安全状况,而不仅仅是技术,还包括您的人员和流程。
许多公司并不清楚发现事件后应采取的步骤。明确的事件响应计划使公司能够做出协调一致的响应,并为他们提供实现拟议规则和法规中概述的时间框架的唯一机会。
事件响应计划包括几个关键组成部分:
- 您需要清楚地了解组织中的主要利益相关者,才能有效应对网络安全事件。这些个人或团体负责做出关键决策并采取具体行动来应对事件。
○ 事件经理,负责领导响应、管理沟通流程、向利益相关者通报最新情况并委派任务。这包括对合规和法律团队的更新。
○ 担任主题专家的技术经理。如果公司内部没有这种资源,公司可以从外部寻找这种资源。
- 制定遏制、根除和恢复程序。
○ 遏制程序涉及隔离受影响的系统或网络以防止攻击蔓延。
○ 根除过程涉及从网络和受感染系统中消除攻击者的存在。
○ 恢复程序涉及在事件得到控制和消除后恢复正常运行。
- 事件分析和调查是有效事件响应计划的关键组成部分。事件分析和调查的目的是:
○ 了解事件的根本原因。
○ 损坏的程度。
○ 响应程序的有效性。
现在就制定您的事件响应计划,为即将到来的规则做好准备。该计划不仅可以让您的组织为拟议的规则做好准备,还可以为潜在的威胁做好准备。如果您的公司没有经验丰富的资源,您可以寻求外部帮助来制定事件响应计划。
约翰·奥康奈尔 (John O’Connell) 是绿洲集团 (The Oasis Group) 的创始人兼首席执行官,专门帮助财富管理和科技公司解决最复杂的挑战。他最新的在线培训课程是职业生涯各个级别的金融专业人士的主要教育来源。这些课程涵盖从网络安全到托管市场等多个模块,使公司和企业能够提高技能、按照自己的节奏学习并重温课程以强化特定的学习目标。
1网络安全风险管理规则,S7-06-23,88 FED。注册。 20,212(2022 年 4 月 5 日),HTTPS://WWW.FEDERALREGISTER.GOV/DOCUMENTS/2023/04/05/2023-05767/CYBERSECURITY-RISK-MANAGEMENT-RULE-FOR-BROKER-DEALERS-CLEARING-AGENCIES-MAJOR -基于安全的交换。
2 SP 法规:消费者财务信息隐私和保护客户信息,S7-05-23,88 FED。注册。 20,616(2022 年 4 月 6 日),HTTPS://WWW.FEDERALREGISTER.GOV/DOCUMENTS/2023/04/06/2023-05774/REGULATION-SP-PRIVACY-OF-CONSUMER-FINANCIAL-INFORMATION-AND-SAFEGUARDING-CUSTOMER -信息。
3身份盗窃资源中心的 2021 年年度数据泄露报告创下了泄露数量新纪录,(2022 年 1 月 24 日),HTTPS://WWW.IDTHEFTCENTER.ORG/POST/IDENTITY-THEFT-RESOURCE-CENTER-2021-ANNUAL-DATA -违规报告设置了妥协数量的新记录/。
4小型企业趋势,“43 小型企业网络安全统计数据”(2023 年 5 月 29 日),HTTPS://SMALLBIZTRENDS.COM/2023/05/SMALL-BUSINESS-CYBERSECURITY.HTML
5 TRUEFORT,“2023 年 30 项发人深省的网络安全统计数据”(2023 年 5 月 10 日),HTTPS://TRUEFORT.COM/2023-CYBERSECURITY-STATISTICS/。
6《哈佛商业评论》,“网络泄露的毁灭性商业影响”(2023 年 5 月 4 日),HTTPS://HBR.ORG/2023/05/THE-DEVASTATING-BUSINESS-IMPACTS-OF-A-CYBER-BREACH。
7 BARRACUDA NETWORKS, INC.,“鱼叉式网络钓鱼 – 主要威胁和趋势”(2023),HTTPS://WWW.BARRACUDAMSP.COM/RESOURCES/REPORTS/SPEAR-PHISHING-THREATS-AND-TRENDS。
韭菜热线原创版权所有,发布者:风生水起,转载请注明出处:https://www.9crx.com/81747.html
