搜索:
Debevoise数据博客
网络安全

金融稳定委员会关于网络事件报告的经验教训

由:

大型企业,尤其是那些足迹遍布全球并在受监管行业运营的企业,正日益面临新的、不同的网络事件报告要求。除了保险公司、客户和交易对手外,单个事件(即使是相对较小的事件)也可能需要通知全球数十个数据保护、网络、执法和部门监管机构。不仅许多监管报告义务具有不同的触发因素,而且在报告时间框架、内容要求和随后的监管参与实践方面也存在显著差异。这种繁文缛节的监管蜘蛛网的累积效应,往往会转移对实质性事件响应和补救的注意力和资源,并为合规和法律人员创造一个官僚漩涡。更糟糕的是,企业不能简单地通过雇佣来摆脱困境。与一个信息安全专业人员短缺340万人在美国,当监管机构将过多注意力放在事件报告上时,他们总是会转移人们对实际信息安全的注意力。

金融稳定委员会(FSB)是一个有影响力的国际机构,由世界领先的金融服务监管机构组成,过去几年一直在分析这个问题,并对这一具有挑战性的通知形势发出警告。在2023年4月发表的一份报告中,实现网络事件报告趋同的建议:最终报告(报告)中,金融稳定委员会就实现网络事件报告更大趋同的实际问题和挑战提供了深刻的评论,并提出了16项建议,主要针对金融当局,以改善这种情况。北美证券管理员协会(NASAA)同意FSB对协调的呼吁。美国证券交易委员会发布了多项拟议规则,要求使用不同的形式进行事件报告, NASAA提交评论信关于2023年5月提出的规则,该规则要求将报告要求与仅创建一种向金融业监管局(FINRA)提交的表格的建议协调一致。

在这篇博客文章中,我们总结了FSB报告及其主要建议,并解释了金融机构如何希望:

  • 使用该报告为网络事件报告的治理框架和程序的设计提供信息;
  • 考虑寻求更积极地与金融当局就报告中提出的各种问题进行接触——朝着更可行和更趋同的方向;和
  • 告知和证实未来参与监管和立法反馈过程。

重要发现

2022年,FSB就网络报告要求和经验对FSB成员和金融机构进行了调查。根据这些调查和报告本身的分析,报告对网络事件报告的问题和挑战作出了一些深刻的发现:

  • 运营挑战。金融机构通常有许多报告要求,其中许多要求立即采取行动或在很短的时间内采取行动。报告触发因素和报告模板的重大差异使得难以以实现财务当局目标的方式满足所有这些要求。在事件响应和补救至关重要的时候,较短的时间框架还会分散资源和注意力。
  • 设定报告准则。确定和阐明适当的报告义务触发点是困难的。这对于定性报告触发器来说尤其具有挑战性。金融当局之间标准的分歧增加了金融当局和机构对阈值含义的理解不一致的风险。
  • 早期评估挑战。由于网络事件的混乱和不确定性,对网络事件进行早期评估和沟通是困难的。根本原因往往需要时间来确定。虽然及时和完整的情况对当局来说很重要,但对完整性水平的期望增加了压力,并转移了解决事件的资源。
  • 及时报告文化。与此相关,由于各种原因,及时向财政当局报告对当局来说很重要。但是,实现及时报告存在许多障碍,包括在进行准确评估方面的挑战,对声誉损害的恐惧以及对事件的发现延迟。
  • 安全通信。以安全和适当的方式处理事件报告对金融机构非常重要。但金融机构担心通过未加密的电子邮件和指定平台传达事件的风险,这仍然是最常见的报告方式,而指定平台可能成为威胁行为者的目标。

主要建议

虽然强调“一刀切”的方法并不合适,但建议强调网络事件报告框架之间更大程度的融合是可取的。具体的主要建议包括:

  1. 采用通用的数据要求和报告格式。金融当局应单独或集体确定共同的数据要求,并酌情制定或采用事件报告信息交换的标准化格式。
  2. 实施阶段性和增量报告要求。金融当局应分阶段实施增量报告要求,在当局及时报告的需要与受影响机构控制事件的主要目标之间取得平衡。

  1. 校准初始报告窗口。金融当局应考虑与初始报告使用的窗口设计或校准相关的潜在结果。
  2. 提供足够的细节,以尽量减少口译风险。金融当局应通过在设定报告门槛、使用通用术语和用实例补充[报告]指南方面提供适当程度的细节,促进一致的理解,并尽量减少解释风险。
  3. 在基于实质性的触发机制下促进及时报告。使用重要性阈值的金融当局应考虑调整阈值语言,或探索其他合适的方法,以鼓励(机构)及时报告重大事件。

  1. 保护敏感信息。金融当局应实施安全形式的事件信息处理,以确保敏感信息在任何时候都得到保护。

金融机构利用报告的机会

本报告主要针对金融当局和有能力塑造其所执行的法律和法规的政治行为者。然而,认识到金融稳定委员会的重要作用和报告的精辟,金融机构不妨考虑以以下几种方式利用它:

  • 第一个,金融机构不妨利用该报告为网络事件报告的治理框架和程序的设计提供参考。例如,金融稳定理事会将及时性视为一种普遍的监管问题,这可能有利于对提高机构及时报告能力的流程进行投资。此外,虽然治理框架显然需要根据每个实体的监管要求进行定制,但金融稳定委员会关于协调报告要求的建议可能会影响金融机构对网络事件报告和参与的集中监督和控制的可取性。
  • 第二个,金融机构不妨考虑在报告提出的各种问题上寻求更积极地影响金融当局——朝着更可行和更趋同的方向。例如,金融机构可能希望考虑主动与金融当局就(i)自愿“中期”报告进行接触,作为提高及时性的一种手段,同时管理对早期报告细节水平的期望,以及(ii)金融机构定义的指导和示例,以确保与重要性阈值保持一致。这种参与可能产生实体特定的结果,并影响更广泛的监管方向。
  • 第三,金融机构不妨考虑利用该报告为未来参与监管和立法反馈过程提供信息和证明。总体而言,该报告表达了金融机构长期以来对日益复杂的网络事件报告环境所带来的挑战的关注。该报告是一份宝贵的资源,可以在政策讨论中借鉴和指出,如何应对因不同报告要求的激增而引发的无数问题,以及必须找到更大的趋同。

订阅数据博客,请点击这里

这篇博文的封面是由DALL-E制作的。

作者

Luke Dembosky是Debevoise华盛顿办事处的诉讼合伙人。他是公司数据战略和安全实践的联合主席,也是白领和监管辩护小组的成员。他的业务重点是网络安全事件的准备和应对、内部调查、民事诉讼和监管辩护,以及国家安全问题。您可以通过ldembosky@debevoise.com与他联系。

作者

Avi Gesser是Debevoise数据战略与安全小组的联合主席。他的业务重点是就广泛的网络安全、隐私和人工智能问题向大公司提供咨询。您可以通过agesser@debevoise.com与他联系。

作者

Erez是Debevoise数据战略与安全集团的诉讼合伙人和成员。他的业务重点是为大型企业提供广泛的复杂、高影响的网络事件响应事宜以及与数据相关的监管要求方面的建议。可以通过eliebermann@debevoise.com与埃雷兹联系

作者

Kristin Snyder是诉讼合伙人,也是该公司白领和监管辩护团队的成员。她的业务重点是与证券相关的监管和执法事宜,特别是针对私人投资公司和其他资产管理公司。

作者

Charu a . Chandrasekhar是纽约办事处的诉讼律师,也是该公司白领和监管辩护小组的成员。她的业务重点是证券执法和政府调查、内部调查和复杂的商业诉讼。

作者

特里斯坦·洛克伍德(Tristan Lockwood)是本所数据战略与安全业务的助理。您可以通过tlockwood@debevoise.com与他联系。

相关的帖子

Baidu
map