Представьте, что вы работаете над балансированием портфеля клиентов, и вдруг экран компьютера становится пустым. Появится сообщение с требованием выкупа в размере 10 000 долларов в час или же весь жесткий диск будет удален. Вы беспокоитесь о том, чтобы потерять месячную работу, но украденная информация будет намного хуже. Вы должны были бы уведомить клиентов о нарушении безопасности, многие, вероятно, уйдут, и вы можете даже оштрафовать FINRA.

Этот сценарий может звучать как что-то из фильма, но на самом деле это все более распространенная форма кибератаки, известная как вымогательство. Эти типы атак могут происходить из чего-то столь же безобидного, как электронная почта от коллеги с вирусом, который замаскирован под электронную таблицу или счет-фактуру. Многие финансовые консультанты плохо подготовлены к предотвращению подобных атак, поскольку они становятся все более обыденными в современном мире, основанном на технологиях.

В этой статье мы рассмотрим, почему кибербезопасность стала основным направлением для регулирующих органов и почему она должна быть единой для всех финансовых консультантов независимо от их размера. (Подробнее см. Ниже: 7 советов по кибербезопасности для советников. )

Повышенный уровень регулирования

Комиссия США по ценным бумагам и биржам (SEC) начала более внимательно изучать вопросы кибербезопасности и провела свою первую развертку из более чем 100 брокеров-дилеров и инвестиционных консультантов в 2014 году. После опубликования своих выводов в феврале этого года агентство объявило еще один раунд экспертизы к сентябрю. SEC и FINRA поставили кибербезопасность в верхней части своего приоритетного списка в 2016 году, что может привести к новой деятельности по обеспечению соблюдения в 2016 и 2017 годах. (Более подробно см .: Консультанты чувствуют кибер-неуверенность. ) <

Эти агентства теперь регулярно смотрят на контроль безопасности финансовых консультантов посредством тестирования и оценки. Во многих случаях эти экзамены могут привести к увеличению числа принудительных мер, направленных на поощрение консультантов по улучшению их инфраструктуры безопасности. К числу основных направлений деятельности учреждений относятся управление, права доступа, предотвращение потери данных, обучение и реагирование на инциденты, среди других тем. (Для соответствующего чтения см .:

Что советники должны знать о SEO, социальных медиа .) Во время этих экзаменов регуляторы будут запрашивать политику и процедуры информационной безопасности фирмы, опросить сотрудников и запрашивать информацию о событиях безопасности, которые фирма уже испытала. Финансовые консультанты должны быть готовы ответить на все вопросы, содержащиеся в существующих руководствах агентств, при рассмотрении более технических и подробных вопросов, которые могут потребоваться для дополнительной ясности. (Для соответствующего чтения см.:

Какие советники, клиенты должны ожидать от будущего с низким возвратом .) Финансовые консультанты должны сосредоточить свои усилия на двух областях, когда дело доходит до соблюдения требований кибербезопасности и защиты данных клиентов. Первой областью внимания является технология, которая обеспечивает защиту данных клиента и помогает избежать любых проблем с самого начала. Второй областью внимания является документация, которая помогает соответствовать нормативным требованиям и гарантирует, что существуют политики для управления установкой и обслуживанием технологических решений. (Для соответствующего чтения см.

Что могут посоветовать консультанты от Robo-Advisors .) Технологические решения

Существует множество различных технологий, которые используются для защиты сетей и обеспечения того, чтобы киберпреступники не могли доступ к конфиденциальной информации. В большинстве случаев финансовые консультанты должны работать с консультантами в области информационных технологий для выбора надлежащих технологий и обеспечения их надлежащей установки. Также может быть полезно, чтобы эти консультанты обучали сотрудников, чтобы избежать того, что часто является самым слабым звеном: людьми. Наиболее важные технологии для реализации включают в себя:

Брандмауэр оборудования:

• Предотвращает несанкционированный доступ к компьютерной сети из внешних источников с помощью белого списка всех утвержденных соединений и блокировки всех остальных. Шифрование программного обеспечения:
• Защищает конфиденциальные данные, предоставляя его нечитаемым никому, у которого нет ключа шифрования или кодовой фразы. Управление доступом:
• Обеспечивает, чтобы все консультанты в практике имели свои собственные индивидуальные учетные записи, которые разделены, чтобы предотвратить одно нарушение от компрометации всех данных. Антивирус / шпионское ПО:
• Предотвращает установку и распространение вирусов и шпионских программ на компьютерах, подключенных к сети, и помещает в карантин любые существующие вирусы. Безопасный удаленный доступ:
• Обеспечивает доступ к компьютерам сети от консультантов, работающих дома или вне офиса через зашифрованную связь. Переносное шифрование носителей:
• Обеспечивает, чтобы украденные USB-накопители и ноутбуки были заблокированы в случае их кражи, чтобы защитить конфиденциальную информацию клиента. Обновления программного обеспечения:
• Обеспечивает постоянное обновление всех программных решений, установленных на компьютере, чтобы закрыть все дыры безопасности, обнаруженные поставщиком. Обучение персонала:
• Помогает персоналу понять, как избежать основных угроз безопасности, которые, как правило, являются наиболее распространенной точкой входа для киберпреступников. Надлежащая документация

FINRA и SEC имеют требования к документации, которые имеют тенденцию появляться, когда эти агентства проводят экзамены. Во многих случаях документация процедур безопасности так же важна, как и фактические меры безопасности, когда дело касается принудительных действий.

Инициатива по безопасности кибербезопасности SEC и Инициатива по кибербезопасности SEC и Инициатива по изучению кибербезопасности 2015 года - хорошие места для начала. В этом документе регулирующее агентство изложило свое внимание на вопросах управления и оценки рисков, прав доступа и контроля, предотвращения потерь данных, управления поставщиками и обучения, а затем обсуждает особенности, связанные с внедрением и документированием решений в этих областях.(См. Раздел «

). ) Например, раздел« Права доступа и элементы управления »содержит следующие требования к документации:

Фирменные политики и процедуры, касающиеся доступа (например, политика контроля доступа, допустимая политика использования, административное управление системами и политика корпоративной информационной безопасности), в том числе следующие: установление прав доступа сотрудников, в том числе роль или членство в группах; Обновление или прекращение прав доступа на основе кадровых или системных изменений; и любое одобрение руководства, необходимое для изменения прав доступа или средств контроля. (Для соответствующего чтения см.

Управление ожиданиями клиентов в летучей среде .) Финансовые консультанты должны внимательно прочитать эти требования и убедиться, что они могут полностью ответить на эти вопросы раньше времени. Любые неудачи в решении этих вопросов и проблем могут привести к принудительным действиям. (Для смежных чтений см .:

Советники должны сосредоточиться на своем собственном выходе на пенсию, планы преемственности .) Практический результат

Кибербезопасность остается первоочередной задачей среди регуляторов в SEC и FINRA как связанные с кибербезопасностью инциденты растут. Для финансовых консультантов важнее, чем когда-либо, защищать данные технологиями и гарантировать, что все будет документировано для регулирующих органов. Те, кто не справляется с этими проблемами, могут столкнуться с растущим риском регуляторных действий, штрафов и других последствий, поскольку политика развивается на нормативном уровне. (См. Также:

Обучение ваших клиентов о кибербезопасности. )