华尔街’的反黑客联盟

更多公司专注于网络安全。 (马特·柯林斯的插图)

摩根大通&公司首席执行官杰米·戴蒙(Jamie Dimon)在2014年对他的银行进行的网络攻击破坏了700万家小企业和7600万户家庭的账户后,向金融服务业发起了针对计算机黑客的第一枪。

在当年致股东的一封信中,戴蒙谈到了“绝对,关键和紧急”的需求,以应对网络安全威胁以及相关的欺诈问题和隐私保护。

值得注意的是,戴蒙(Dimon)紧随其后地表示,企业必须与监管机构携手合作,以限制第三方对银行数据的使用,并确保客户的钱和身份保持安全。

戴蒙写道:“我不相信大多数人会完全理解什么不再是私人的,以及如何购买,出售和使用他们的信息。” “至关重要的是,政府,企业和监管机构必须进行有效,实时的协作。网络安全是政府和企业一直良好合作的领域,但是还有许多工作要做。如果不采取一致行动,我们所有人都将付出惨痛的代价。”

可以肯定的是,摩根大通为保护其账户和数据愿意付出的代价一直在以天文数字的水平增长。在2014年的年度报告中,该银行表示,该年在网络加强方面花费了2.5亿美元。

此后,摩根大通表示,预计在2015年和2016年将这一数字翻一番,在短短两年内将其网络安全支出提高到10亿美元。

信息共享

经纪交易商会共同努力,在他们的计算机成为黑客攻击的受害者时互相建议。它们报告此类威胁的主要来源是通过金融服务信息共享和分析中心(FS-ISAC)进行的,FS-ISAC是由受监管的金融服务公司和政府机构组成的全球网络,允许成员进行协作并采取行动来避免安全威胁。

雷蒙德·詹姆斯(Raymond James)首席信息技术官安迪·佐尔珀(Andy Zolper)表示,该公司是FS-ISAC的活跃成员,目前共有7,000家成员公司。

“我们每天与其他FS-ISAC成员共享有关攻击企图的威胁情报,” Zolper。 “它是匿名的。我不需要知道是花旗银行还是LPL Financial,但我知道攻击发生的那天是什么样的。贸易术语是“妥协指标”。然后,如果针对雷蒙德·詹姆斯(Raymond James)的攻击,我们可以调整防御以阻止该攻击。”

至于雷蒙德·詹姆斯(Raymond James)参与有关网络安全的监管问题,佐尔珀说,公司的公司结构需要受到许多机构的监督,包括美联储,货币审计署,证券交易委员会和金融业。监管机构。

Reg复杂性

佐珀(Zolper)描述了一条复杂的监管途径,该途径将雷蒙德·詹姆斯(Raymond James)的网络安全监管扩展到了美联储,OCC,SEC,FINRA和跨机构的联邦金融机构考试委员会(FFIEC)。

他说,甚至在SEC和FINRA于2015年介入之前,雷蒙德·詹姆斯(Raymond James)就是在2014年由奥巴马政府和商务部国家标准与技术研究院(NIST)发起的网络安全框架下运作的。

Zolper说,尽管复杂,但这种监管途径为经纪交易商提供了统一的网络安全标准和实践。

“ SEC和FINRA已将监管说明与其他组织进行了比较。我们看到了SEC,NIST和FFIEC之间的良好契合,”他说。 “我们没有看到他们强调的任何东西与其他监管机构的期望有实质性的不同。我们将关注点映射到NIST的现有框架上,以确保我们对SEC的期望与基于NIST框架的实施对自己已经期望的期望之间没有差距。”

贸易组织证券行业与金融市场协会常务理事兼技术与运营负责人汤姆·普莱斯(Tom Price)表示,咨询行业,政府和消费者都具有减轻网络威胁的相同目标。 SIFMA是FS-ISAC的支持者,并设定了一个目标,即100%的成员加入FS-ISAC的协作网络安全论坛。

普莱斯在一份声明中说:“鉴于监管金融服务业的众多监管机构,至关重要的是跨机构协调网络安全规则,以避免产生冲突或分歧的规则,而这可能不利于我们集体网络防御工作。”

两份文件

然而,随着FINRA和SEC坚决参与网络安全辩论,很明显,这两个重量级监管机构正在加紧经纪交易商之间的竞争。

金融计算机服务公司(Financial Computer Services)首席执行官布莱恩·埃德尔曼(Brian Edelman)是一家专门为经纪交易商提供网络安全知识的公司,他指出最近的某些通信是“有史以来网络安全领域中最重要的两个文件。”

第一份是爱德曼(Edelman)描述为“每家公司的操作说明手册”,是美国证券交易委员会合规检查与检查办公室(OCIE)于2015年9月发起的一项网络安全检查计划,该计划基于其2014年进行的网络安全扫描(共57项注册) BD和49个注册投资咨询(RIA)公司。

第二个是2016年1月FINRA根据成员的OCIE网络安全扫描给成员公司的优先事项信。今年优先信件中的关键词是 文化,爱德曼说。

Edelman补充说:“ FINRA期待建立牢固的网络安全'文化'。网络安全所需的更新要比公司在其自身文化中可能需要的更新多得多,对于大型组织而言,进行更改要困难得多。假设您有成千上万的员工要购买大量软件许可证。这给经纪人-交易商和电报公司带来了复杂性。”

QuonWarrene的合伙人兼首席财务官Neal Quon向金融顾问和机构提供技术咨询,他同意这两个字母总结了当今商业环境中的固有风险。

“不再只是硬件或软件。 Quon说。他指出,2013年发生的大规模Target数据泄露事件是在黑客窃取了第三方供应商向Target数据网络的密码的情况下发生的。

作为文化复杂性的一个例子,埃德曼(Edelman)指出,与BD和RIA保持联系的混合顾问可能会使负责网络安全但无法控制顾问工作空间或顾问可能使用的多个保管人的公司产生监管难题。

爱德曼说:“顾问既是经纪交易商的注册代表销售员,也是RIA的投资顾问。”经纪交易商有权决定注册代表在其计算机上拥有什么,但是顾问认为自己是独立的。猜猜顾问谁不想访问他们的计算机?经纪商。”

Quon说,与此同时,顾问有责任更好地保护其客户账户。

“家庭办公室可以分发监管机构提供的政策并执行这些政策,但是保护移动设备安全的责任最终在于顾问,尤其是在“自带设备”情况下,赞助商未提供设备,“ 他说。

技术通量

咨询公司的技术提供商RightSize Solutions的首席执行官Wes Stillman表示,转向顾问,经纪人代表,最终投资者和第三方供应商的基于Web的应用程序进一步加剧了网络安全挑战,尤其是随着越来越多的人使用数字技术在传统工作场所之外开展业务的设备。

例如,如果顾问在咖啡店里结识新客户时填写帐户表格,该表格很可能会下载到移动设备,然后最终存储在某处家庭办公室中的另一台计算机上。 Stillman说,无论新帐单在何处,无论处于静止状态还是在传输中,其安全性都存在风险。

他说:“技术发展的越多,如果将信息存储在经纪交易商已部署的解决方案之外,信息安全性就会面临更大的挑战。” “但是,如果经纪交易商说‘您必须使用我们的平台’,那可能会以错误的方式给人们带来麻烦。”

FINRA董事长兼首席执行官Richard Ketchum在介绍2016年优先事项的一封信中说,对公司文化进行更正式的评估将有助于FINRA“更好地了解文化如何影响公司的合规性和风险管理实践。”

尽管FINRA的优先事项信中说,该机构“不寻求支配企业文化”,但它的确希望评估单个企业及其专用的监管资源。

FINRA计划评估企业文化的五个指标:控制功能是否在组织内部得到重视;是否容忍违反行为;组织是否寻求识别风险和合规事件;主管是否是企业文化的有效榜样;分支机构和交易柜台的亚文化是否符合整体企业文化。

律师事务所Dechert LLP在1月发布的法律更新中突显了监管机构现在在认真对待经纪人和投资顾问时对网络安全的重视程度。该律师事务所表示,在SEC在2015年9月发布其OCIE网络安全检查计划的一周后,该机构宣布了一项针对未建立网络安全政策和程序的顾问的执法程序的和解,违反了旨在保护网络安全的规则。消费者财务信息的隐私。

顾问,位于圣路易斯的R.T.美国证券交易委员会指控,琼斯资本股票管理公司(Jones Capital Equity Management)同意就未能建立所需的网络安全政策和程序的指控达成和解,该违规行为在破坏了大约100,000个人的个人身份信息的泄露之前。 R.T.琼斯同意支付2013年7月对一名未知黑客对其网络服务器的攻击的罚款75,000美元,该黑客获得了访问权限,因此使该公司的数千名客户容易遭受盗窃。

对于联邦金融网络技术总经理达伦·特德斯科(Darren Tedesco)来说,他的大型独立经纪交易商收到并回应了OCIE网络安全考试计划,他的公司从未得到SEC的回复。

特德斯科说:“有时候没有新闻是个好消息。” “令人印象深刻的是,美国证券交易委员会(SEC)提出了前所未有的明智问题,即如何保护数据。令人耳目一新的是,监管机构提出了有关网络安全的正确问题。他们希望确保数据受到适当的保护。”

订阅《职业优势》通讯

免费提供实践管理提示,可促进您的职业发展并将公司的生产提高到一个新的水平。

订阅《职业优势》通讯

免费提供实践管理提示,可促进您的职业发展并将公司的生产提高到一个新的水平。

订阅《每日电讯》通讯

快速,轻松地获取最新的最佳实践,相关统计数据和行业趋势。

订阅《每日电讯》通讯

快速,轻松地获取最新的最佳实践,相关统计数据和行业趋势。

ThinkAdvisor

加入Thi​​nkAdvisor

不要错过做出明智的投资咨询决策所需的重要新闻和见解。立即加入Thi​​nkAdvisor.com!

  • 免费无限制地访问ThinkAdvisor.com,它可以像您一样为顾问提供有关产品,服务和趋势的全面报道,以指导您的客户做出重要的财富,健康和生活决策。
  • ALM和ThinkAdvisor事件的独家折扣。
  • 访问其他屡获殊荣的ALM网站,包括TreasuryandRisk.com和Law.com。

已经有帐号了? 现在登入
加入Thi​​nkAdvisor

版权©2021 ALM Media Properties,LLC。版权所有。