Répression de la cybersécurité: où la SEC et la FINRA frapperont | Portefeuille d'investissement | 2018

Répression de la cybersécurité: où la SEC et la FINRA frapperont

Vous pensez que votre entreprise est trop petite ou que vos cyberdéfenses sont trop fortes pour vous inquiéter des attaques numériques contre les données de votre entreprise et de vos clients? La SEC et la FINRA ne le pensent pas. Une lecture des annonces officielles des régulateurs et des connaissances de ceux qui connaissent leur fonctionnement suggère que les conseillers courent le risque non seulement de compromettre les données, mais aussi d'amendes majeures, les régulateurs se préparant à donner des exemples de défaillances en matière de cybersécurité. Pourquoi l'examen accru? "Nous ne sommes plus au Kansas", a déclaré John Reed Stark de la société de sécurité numérique Stroz Friedberg en décrivant le paysage actuel pour les conseillers. Au cours des dernières années, les attaques contre les conseillers et leurs partenaires se sont transformées en attaques plus spectaculaires impliquant des logiciels malveillants sophistiqués qui sont non seulement très perturbants, mais difficiles à retracer, du traditionnel détournement de compte-détournement de mots de passe et de noms d'utilisateur. et la FINRA aborde la menace de près, les deux régulateurs plaçant la cybersécurité parmi leurs principales priorités cette année et lançant des examens de courtiers et de conseillers spécialisés dans ce domaine.

Ne pas se préparer à de tels examens pourrait coûter cher BDs et conseillers chèrement. Le cabinet d'avocats Sutherland Asbill & Brennan a récemment prédit que les futures actions de la SEC en matière de cybersécurité pourraient entraîner des amendes significatives.

Brad Bondi, un partenaire du cabinet d'avocats Cadwalader, qui a participé à un webinaire sur la cybersécurité avec Stark. Par le biais du registre des titres au début du mois de mai, il a été convenu qu '"il y aura un" message "ou deux" sur les balayages d'examens menés par la SEC et la FINRA. "Vous ne voulez pas faire partie de cette poignée d'entreprises qui auront des mesures d'exécution."

Stark, qui a dirigé le Bureau de la SEC de 1998 à 2009, a déclaré

IA

que la SEC cherchera à faire un exemple d'entreprises avec des politiques de sécurité des données laxistes. "C'est ainsi que la division de la mise en application [de la SEC] fait des affaires", a-t-il dit.

Avant le début des derniers examens, Sutherland a noté que les organismes de réglementation des valeurs mobilières avaient déjà imposé des mesures d'exécution contre les entreprises en raison des défaillances de la gouvernance de la cybersécurité. avoir des politiques et procédures écrites inadéquates; ne pas appliquer les politiques et procédures écrites; défaut d'effectuer des évaluations périodiques des procédures et mesures de cybersécurité; (Voir l'encadré, «Cybersécurité: ce que les régulateurs peuvent faire») Alors que les failles de sécurité dans les chaînes de magasins comme Target et Neiman Marcus ont incité le Comité de la Chambre sur la patrie La sécurité à approuver à l'unanimité début février HR 3696, la loi nationale de 2013 sur la cybersécurité et la protection des infrastructures critiques, Stark a déclaré qu'une «évolution tranquille» a eu lieu à la SEC pendant des années pour renforcer son expertise en matière de menaces de cybersécurité. Lancement de l'Office of Internet Enforcement en 1998, puis avec la décision de l'ex-présidente de la SEC, Mary Schapiro, d'attirer l'attention de l'agence en 2010 sur les questions d'infrastructure informatique, notamment en exigeant qu'un informaticien accompagne les examinateurs pour les examens RIA. Au moment de son passage à la SEC, les reprises de comptes étaient la violation de sécurité la plus répandue, et non pas des logiciels malveillants, qu'il décrivait comme des attaques malveillantes tration d'un réseau et exerce un commandement ou un contrôle avec un important facteur d'impact difficile à retracer. »Mais aujourd'hui, les courtiers et les conseillers sont de plus en plus exposés à de telles attaques.

En effet, lors d'une table ronde sur la cybersécurité tenue au siège de la SEC à Washington en mars, Craig Thomas, chef de la sécurité de l'information chez Computershare, a déclaré que la préparation est cruciale pour parer aux attaques. Les entreprises doivent "croire que vous allez être attaqué. Vous devez penser avant le jeu; La sécurité essaie toujours de rattraper la technologie. " Quels sont les risques?

Cyrus Amir-Mokri, secrétaire adjoint aux institutions financières du département du Trésor, a noté lors de la table ronde de la SEC que «les plus avancées en termes de réflexion sur la cybersécurité» comme elles sont devenues «des entreprises technologiques», les entreprises devraient s'efforcer constamment de devancer les menaces potentielles de cybersécurité.

Les principaux risques auxquels les courtiers sont confrontés face aux menaces de cybersécurité sont Selon Daniel Sibears, vice-président exécutif des programmes de réglementation des membres de la FINRA, les risques «initiés» posés par les employés malhonnêtes et les pirates informatiques pénètrent les systèmes de BD.

Pour les sociétés de conseil, grandes et petites »1 risque« en matière de cybersécurité », a ajouté David Tittsworth, directeur exécutif de l'Investment Adviser Association (IAA).

La SEC a adopté une approche "plus étroite" en matière de protection des données clients, a-t-il ajouté. "Maintenant, il s'agit davantage de protéger le marché contre les conséquences de toute violation de données."

La SEC, a-t-il ajouté, "a l'habitude de se tenir au courant des choses, en particulier des technologies émergentes. appliquer dans ces domaines. C'est ce qu'ils font en matière de cybersécurité. "Stark a déclaré que la commission a opéré un" changement de paradigme de protection des données des clients à se protéger contre les violations de la cybersécurité dans son ensemble. "

Jane Jarcho En mars, les conseillers ont averti les conseillers de la conférence sur la conformité de l'IAA que «tout le monde doit se préoccuper de la cybersécurité» et qu'il n'y a «pas de passe pour les petites entreprises».

Bondi a noté Les firmes financières: Se préparer à l'assaut réglementaire, «que les plus petites firmes de conseil, en particulier celles récemment enregistrées, seront probablement les plus« prises au dépourvu »par les examens de l'OCIE.

Stark a convenu que les petites entreprises sont plus Il est probable qu'il ne disposera pas des ressources nécessaires pour se conformer aux politiques de cybersécurité de la division d'examen de la SEC, qu'il a qualifiées de «extraordinairement exhaustives».

«Pour avoir de bonnes personnes pour vous aider à gérer Selon M. Stark, la sécurité de l'entreprise n'est pas facile "et est plus difficile pour les plus petites entreprises, car elles n'ont ni le capital ni les moyens de les payer.

Ce qu'il faut surveiller

Le programme Exam a récemment publié une alerte sur les risques fournissant aux BD et aux conseillers une liste de questions pour les aider à évaluer la conformité de leur entreprise à la cybersécurité ainsi qu'un exemple de document de cybersécurité auquel ils peuvent s'attendre de la division. alerte sur les risques, OCIE a déclaré qu'il a lancé des examens liés à la cybersécurité de plus de 50 courtiers-négociants enregistrés et des entreprises RIA.

Stark a déclaré que l'alerte devrait servir de réveil pour chaque conseiller. "Je parierais que la grande majorité des petits conseillers en investissement seront très choqués par ce questionnaire."

Jarcho a noté que les examinateurs examineront les ressources des entreprises dans la sécurité de l'information, les politiques sur le risque de cybersécurité,"

Les examinateurs, a-t-elle dit, poseront également des questions sur les cyberattaques internes et externes qui pourraient avoir eu lieu dans des sociétés de conseil, et examineront les politiques d'une firme sur les cyberattaques. Formation en informatique, accès aux fournisseurs et diligence raisonnable des fournisseurs.

Certaines des questions de l'information sur les voies d'alerte décrites dans le Cadre d'amélioration de la cybersécurité des infrastructures essentielles, publié le 12 février par l'Institut national des normes et de la technologie. Mais l'OCIE a averti les BD et les conseillers que les questions de l'alerte ne devraient pas être considérées comme «tout compris» des informations que l'OCIE peut demander. En conséquence, l'OCIE a indiqué qu'elle pourrait modifier ses demandes d'information en considérant «les circonstances particulières présentées par les systèmes ou environnements de technologie de l'information de chaque entreprise».

Préparé mais à la recherche d'aide

Bondi et Stark Les plus grands BD et gestionnaires d'actifs sont fiers d'être mieux préparés aux attaques de cybersécurité. "Je vois beaucoup plus de préparation et un plus grand sentiment de fierté et d'urgence dans leurs protections de cybersécurité parce que le grand BD d'aujourd'hui a beaucoup de fonctions différentes et est un acteur majeur sur le marché", a déclaré Stark. Sutherland a prédit que les conseillers et les BD verront probablement la réglementation sur la cybersécurité ou les directives de la SEC "dans un proche avenir", ont demandé à la SEC et à la FINRA de ne pas publier de règles rigides.

La SEC devrait fournir des conseils basés sur des principes Marcus Prendergast, responsable de la sécurité de l'information d'ITG, lors de la table ronde de la SEC de mars.

La FINRA de FINRA a ajouté qu'il était probable que la FINRA "élimine certaines pratiques efficaces", mais Il ne pouvait pas dire qu'il était fondé sur des règles ou des principes. Cependant, a-t-il dit, nous reconnaissons qu'il s'agit d'un environnement en évolution rapide, de sorte qu'il doit y avoir une composante permettant à l'industrie de s'adapter.

Tittsworth a ajouté que les représentants de l'industrie à qui il a parlé ont exhorté la SEC à «résister à l'envie d'imposer des exigences rigoureuses».

Indépendamment de la rigueur des règles finales, chaque entreprise RIA et chaque courtier -dealer, quelle que soit sa taille, devrait maintenant se préparer à protéger les données des clients et leurs propres données. Ne pas le faire pourrait nuire à vos clients et à vos résultats.

Charger plus

Article Précédent

Questions techniques pour l'été

Questions techniques pour l'été

Le mois d'août est ma période préférée pour les nouveaux projets. L'été signifie généralement des journées plus longues, des enfants non scolarisés, des vacances et peut-être un volume d'affaires plus léger par rapport au reste de l'année. Lorsque votre travail vous offre une accalmie, c'est une excellente occasion de faire un peu de rêverie, de faire du lèche-vitrine ou de prendre le temps de tester gratuitement un nouveau service ou logiciel....

Article Suivant

Agents de changement

Agents de changement

Voici les problèmes majeurs auxquels les conseillers ont été confrontés en 2011: accroître la diligence raisonnable sur les produits de placement; adaptation à un environnement réglementaire fluide ; améliorer l'efficacité dans le back-office et directement avec les clients; trouver des investissements produisant de l'alpha en période de croissance économique lente et de volatilité continue sur les marchés ; planification de la relève; décider quel business model-broker-dealer ou RIA-adopter; et...

Postez Votre Commentaire