搜索:
Debevoise数据博客
网络安全

报告强调FINRA对网络安全的关注

由:而且

2023年1月10日,金融行业监管局(“FINRA”)发布了其2023年FINRA审查和风险监测计划报告(“报告”),旨在为成员公司提供关键考虑因素和意见,用于加强其合规计划。该报告讨论了与证券行业相关的24个主题,包括网络安全,因为网络威胁不断演变,并给许多客户和公司带来重大风险。

该报告提到了FINRA在2022年目睹的几种类型的网络安全事件,这些事件可能会使成员公司面临财务损失、声誉风险和运营失败。这些事件包括账户接管、勒索软件或网络入侵,以及相关的客户信息暴露或欺诈性金融事件。与此相关的是,该报告提醒公司注意与网络相关的监管义务,包括美国证券交易委员会(“SEC”)的第30条规则。监管s p而且监管S-ID身份盗窃危险信号)、交易法规则17a-3和17a-4(账簿和记录),以及FINRA规则4370(业务连续性计划和紧急联系信息),3110(监督),3120(监控系统)。

这篇文章讨论了FINRA对网络安全的持续关注,以及报告中的关键见解和有效实践,供公司考虑其网络安全计划。

FINRA对网络安全的持续关注

该报告说明了FINRA对网络安全的重要关注,包括其创建了网络与分析部门2022年8月。该报告结合了从FINRA的公共指导、报告、执法行动和监管通知中吸取的许多经验教训。FINRA定期更新其网络安全主题页并发表了大量的资源,包括它的2015年的报告在网络安全上,2018年的报告关于选定的网络安全实践,公司清单折衷帐户、跨市场期权监管:潜在入侵报告卡小型企业网络安全检查表,核心网络安全威胁与有效控制适用于小型公司。FINRA还发布了一系列监管通知,讨论与ransomware数字签名伪造软件漏洞网络钓鱼第三方供应商客户帐户受损新帐户计划,骗子网站

与网络安全相关的考虑因素和有效实践

该报告为公司提供了有关FINRA认为符合网络安全监管义务的有效做法的见解,以及应对不断演变的网络安全威胁的方法,包括:

  • 风险评估:为了发展和维持健全的网络安全实践,企业应定期进行风险评估,以评估其风险概况,确保考虑到公司活动性质和范围、当前网络安全实践、现有和潜在威胁以及行业最佳实践的任何变化。风险评估对于识别和预防潜在的网络安全入侵(如勒索软件、网络钓鱼等)非常重要。企业可以通过对员工进行组织安全实践培训来帮助降低网络安全风险,比如数字卫生和网络钓鱼意识。
  • 书面监督程序和事件响应计划:上述风险评估有助于制定书面监督程序(“WSPs”)。美国金融业监管局的报告列出了企业可以纳入其wsp的几种做法,比如保护存储,以便企业定期备份关键数据。此外,公司应考虑制定事件响应计划(“IRP”),解释公司员工在发生网络安全事件时应承担的责任和采取的行动,包括公司将如何恢复其系统,以及如何恢复受影响的数据。
  • 授权系统访问:为了确保只有经过授权的员工、客户和承包商才能访问公司的系统,公司应该考虑对员工、承包商和客户实施多因素身份验证。
  • 监控新账户:新客户帐户也可能构成外部威胁,因此企业应考虑验证客户开立新帐户的身份并监控可疑活动,例如从同一IP地址开立多个新帐户。公司可以利用第三方来帮助验证身份,并获得新账户的风险评估,以确定是否应该实施额外的保障措施。
  • 数据丢失预防:未能监控公司系统内的活动,如未经授权的复制、下载或删除数据,可能会导致网络安全风险增加。同样,对对外通信缺乏控制也会使敏感的客户和公司信息处于危险之中。企业应考虑采用可以扫描出站通信的技术,以识别和限制敏感或机密的客户或公司数据,以及对内部网络活动的控制。此外,充分的数据日志管理实践可以帮助企业确定导致数据丢失的网络攻击的起点和范围,同时为企业软件添加安全设置可以减少系统漏洞。
  • 第三方供应商和供应链风险:在与第三方供应商建立关系时,公司应该意识到第三方的网络安全事件可能对他们造成的风险。鼓励公司在入职过程中评估这些风险,并保持第三方提供的服务、系统和软件组件的记录,以及这些项目如何与公司的基础设施相互作用。
  • 云计算:云计算服务越来越受欢迎,因为它们可以提供更高的数据存储、处理能力和网络机会。与此同时,如果采用不当,云计算可能会带来更大的风险。转向云服务的企业应该考虑如何与云服务提供商划分网络安全风险管理任务,以及潜在的云服务提供商如何负责网络安全威胁检测、事件响应和补丁。
  • 冒名顶替者域:威胁行为者可能试图在互联网上冒充公司,可能造成金钱和声誉损失。鼓励公司监控冒名网站,并制定计划在发现此类网站后解决这些问题。
  • 报告可疑活动:企业应审查有关提交可疑活动报告(“sar”)的监管义务,并根据这些义务制定报告内部和外部网络安全事件的程序。FINRA还指出,公司在评估是否根据网络事件提交SAR时,应了解金融犯罪执法网络(“FinCEN”)发布的任何适用指南。
  • 分支控制:该报告还提供了针对特定分支机构的网络安全见解,包括公司应考虑:(1)如何识别和应对源于分支机构托管的电子邮件和其他软件应用程序的网络安全风险;(2)建立一套技术资产清单,能够监测对公司系统和数据的授权访问;(3)在分支机构层面保持遵守公司WSP中建立的网络安全标准的策略;(4)是否使用分行管理的伺服器来执行电子邮件或其他应用程序(例如客户关系管理、报告),以及如果允许分行管理的伺服器,如何实施适当的保安管制,以监察该等功能;(5)如何确保分支机构人员知道如何有效地应对分支机构发生的网络安全事件,包括向总部报告的任何要求。

订阅我们的数据博客,请点击在这里

作者要感谢Debevoise法律助理Ned Terrace对这篇文章的贡献。

作者

Avi Gesser是Debevoise数据战略与安全集团的联合主席。他的业务重点是就广泛的网络安全、隐私和人工智能事务为大型公司提供咨询。可以通过agesser@debevoise.com与他联系。

作者

Erez是诉讼合伙人,也是Debevoise数据战略与安全集团的成员。他的业务重点是就广泛复杂、高影响的网络事件响应事项和数据相关的监管要求向主要企业提供咨询。可以通过eliebermann@debevoise.com与Erez联系

作者

克里斯汀·斯奈德(Kristin Snyder)是诉讼合伙人,也是事务所白领与监管辩护组(White Collar & Regulatory Defense Group)的成员。她的业务重点是与证券相关的监管和执法事务,特别是私人投资公司和其他资产管理公司。

作者

查鲁·a·钱德拉塞卡(Charu a . Chandrasekhar)是纽约办公室的诉讼律师,也是该公司白领与监管辩护小组(White Collar & Regulatory Defense Group)成员。她的业务重点是证券执法和政府调查、内部调查和复杂的商业诉讼。

作者

Michael R. Roberts是Debevoise & Plimpton全球数据战略和安全组的高级助理,也是该公司诉讼部门的成员。他的业务重点是隐私、网络安全、数据保护和新兴技术事务。可以通过mrroberts@debevoise.com与他联系。

相关的帖子

Baidu
map