Die Allianz der Wall Street gegen Hacker | Praxis-management | 2018

Die Allianz der Wall Street gegen Hacker

Mehr Firmen konzentrieren sich auf Cybersicherheit. (Illustration von Matt Collins)

JPMorgan Chase & Co. Chief Executive Jamie Dimon hat einen der ersten Schüsse auf Computerhacker im Finanzdienstleistungssektor abgefeuert, nachdem ein Cyberangriff auf seine Bank im Jahr 2014 die Konten von 7 Millionen kleinen Unternehmen und 76 Personen kompromittiert hatte In einem Brief an die Aktionäre in diesem Jahr sprach Dimon von der "absoluten, kritischen und sofortigen" Notwendigkeit, Cyber ​​- Sicherheitsbedrohungen sowie damit verbundene Betrugs - und Datenschutzprobleme zu bekämpfen.

Dimon ging diesen Worten besonders nach eine Bestätigung, dass Unternehmen Hand in Hand mit den Aufsichtsbehörden arbeiten müssen, um die Verwendung der Bankdaten durch Dritte einzuschränken und sicherzustellen, dass das Geld und die Identität der Kunden sicher bleiben.

"Ich glaube nicht, dass die meisten Menschen das nicht mehr verstehen ist privat und wie ihre Informationen gekauft, verkauft und genutzt werden ", schrieb Dimon. "Es ist wichtig, dass Regierung, Unternehmen und Regulierungsbehörden effektiv und in Echtzeit zusammenarbeiten. Cybersicherheit ist ein Bereich, in dem Regierung und Wirtschaft gut zusammenarbeiten, aber es gibt noch viel mehr zu tun. Und wenn es nicht gemeinsam geschieht, zahlen wir alle einen schrecklichen Preis."

Der Preis, den JPMorgan zum Schutz seiner Konten und Daten zu zahlen bereit ist, wächst auf astronomischem Niveau. In ihrem Jahresbericht für das Jahr 2014 sagte die Bank, dass sie in diesem Jahr 250 Millionen US-Dollar für Cyber-Stärkung ausgegeben hat.

Seitdem hat JPMorgan angekündigt, den Betrag im Jahr 2015 und 2016 auf 1 Milliarde US-Dollar zu verdoppeln im Laufe von nur zwei Jahren.

Info-Sharing

Broker-Händler arbeiten gemeinsam daran, sich gegenseitig zu beraten, wenn ihre Computer Hacking-Versuchen zum Opfer gefallen sind. Ihre Hauptquelle für die Meldung solcher Bedrohungen findet über das Financial Services Sharing and Analysis Center (FS-ISAC), ein weltweites Netzwerk von regulierten Finanzdienstleistungsunternehmen und Regierungsbehörden, statt, das Mitgliedern die Zusammenarbeit und Maßnahmen zur Abwehr von Sicherheitsbedrohungen ermöglicht.

Andy Zolper, Chief Information Technology Officer von Raymond James, sagte, das Unternehmen sei ein aktives FS-ISAC-Mitglied, das derzeit aus 7.000 Mitgliedsfirmen besteht.

"Wir teilen täglich mit anderen FS-ISAC-Mitgliedern Bedrohungsanalysen über Angriffe Versuche, "Zolper. "Es ist anonym. Ich muss nicht wissen, ob es Citibank oder LPL Financial war, aber ich weiß, wie der Angriff an dem Tag aussah, an dem er passierte. "Indikatoren für Kompromisse" ist der Handelsbegriff. Wir können dann unsere Abwehrmaßnahmen einstellen, um diesen Angriff zu stoppen, wenn es an Raymond James gerichtet ist."

Was die Beteiligung von Raymond James an den regulatorischen Fragen rund um Cybersicherheit anbelangt, so sagte Zolper, die Unternehmensstruktur müsse von einer Reihe von Agenturen überwacht werden Federal Reserve, das Amt des Comptroller of the Currency, die Securities and Exchange Commission und die Financial Industry Regulatory Authority.

Reg Complexity

Zolper beschrieb einen komplexen regulatorischen Weg, der Raymond James 'Cybersicherheitsaufsicht auf die Fed ausdehnt OCC, die SEC, die FINRA und der federal Federal Financial Institutions Prüfungsrat (FFIEC).

Schon bevor die SEC und die FINRA im Jahr 2015 involviert waren, sagte er, Raymond James operiere unter einem Cybersicherheitsrahmen, der 2014 von der Obama-Regierung ins Leben gerufen wurde und das Nationale Institut für Standards und Technologie (NIST) des Handelsministeriums.

Obwohl dieser regulatorische Weg kompliziert ist, bietet er einheitliche Cybers Laut Zolper

"haben die SEC und FINRA Regulierungsstandards mit anderen Organisationen verglichen. Wir haben eine sehr gute Abstimmung zwischen SEC, NIST und FFIEC gesehen ", sagte er. "Wir haben nichts in ihrer Betonung gesehen, das sich wesentlich von dem unterscheidet, was andere Aufsichtsbehörden erwarten. Wir ordnen die Schwerpunkte dem bestehenden NIST-Rahmenwerk zu, um sicherzustellen, dass es keine Lücken zwischen dem, was die SEC erwartet, und dem, was wir bereits von uns erwarten, basierend auf unserer Implementierung des NIST-Rahmens gibt."

Die Beratungsbranche, die Regierung und die Verbraucher haben alle das gleiche Ziel, Cyberbedrohungen abzuschwächen, sagte Tom Price, Managing Director und Leiter der Technologie- und Operationsabteilung der Handelsgruppe für Wertpapierindustrie und Finanzmärkte. SIFMA ist ein FS-ISAC-Unterstützer und hat sich zum Ziel gesetzt, dass 100% seiner Mitglieder dem kollaborativen Cybersecurity-Forum von FS-ISAC beitreten.

"Angesichts der Vielzahl von Regulierern, die die Finanzdienstleistungsbranche beaufsichtigen, ist es entscheidend, dass Cybersicherheitsregeln gelten über die Agenturen hinweg koordiniert, um widersprüchliche oder abweichende Regeln zu vermeiden, die kontraproduktiv für unsere gemeinsamen Bemühungen zur Cyber-Abwehr wären ", sagte Price in einer Erklärung.

Zwei Dokumente

Doch mit FINRA und dem entschlossenen Einstieg der SEC in die Cybersicherheitsdebatte ist klar dass diese beiden Schwergewichtsregulierer ihr Spiel zwischen Broker-Dealern intensivieren.

Brian Edelman, Chief Executive von Financial Computer Services, einem Unternehmen mit Expertise in Cybersicherheit für Broker-Dealer, weist auf bestimmte aktuelle Mitteilungen als "die beiden am meisten" hin wichtige Dokumente, die jemals in den Cybersicherheitsraum kommen."

Der erste, den Edelman als" die Bedienungsanleitung zu dem, was jede Firma zu tun hat "beschreibt, ist ein 20. September 15 Cybersecurity Examination Initiative von der SEC Office of Compliance Inspektionen und Prüfungen (OCIE) basierend auf CyberSecurity Sweeps, die im Jahr 2014 bei 57 registrierten BDs und 49 registrierte Anlageberatung (RIA) Unternehmen durchgeführt.

Die zweite ist ein Januar 2016 FINRA Prioritäten Brief an die Mitgliedsfirmen basierend auf diesen OCIE Cybersecurity Sweeps. Das Schlüsselwort in diesem Jahr lautet:

Kultur , sagte Edelman. Edelman fügte hinzu: "FINRA erwartet eine feste" Kultur "der Cybersicherheit. Cybersicherheit erfordert viel mehr Aktualisierung, als ein Unternehmen in seiner eigenen Kultur erfordern kann, und es ist für ein größeres Unternehmen viel schwieriger, Änderungen vorzunehmen. Angenommen, Sie haben Tausende von Mitarbeitern, bei denen Sie viele Softwarelizenzen kaufen. Das schafft Komplexität für Broker-Dealer und Wireshouses."

Neal Quon, Partner und Chief Financial Officer von QuonWarrene, der Finanzberatung und -instituten technische Beratung bietet, stimmte darin überein, dass diese beiden Buchstaben die dem heutigen Geschäftsklima innewohnenden Risiken aufzeigen.

"Es geht nicht mehr nur um die Hardware oder Software. Es geht auch um Verhalten ", sagte Quon, der feststellte, dass die massive Datenpanne im Jahr 2013 passierte, als Hacker das Passwort eines Drittanbieters in das Datennetzwerk von Target stahlen.

Als Beispiel kultureller Komplexität bemerkte Edelman, dass hybride Berater eine Zugehörigkeit zu einem BD aufrechtzuerhalten und eine RIA kann regulatorische Probleme für Firmen verursachen, die für die Cybersicherheit verantwortlich sind, aber keine Kontrolle über den Arbeitsbereich des Beraters oder die verschiedenen Verwalter haben, die die Berater verwenden könnten.

"Der Berater ist sowohl ein registrierter Repräsentant von der Broker-Dealer und ein Anlageberater der RIA ", sagte Edelman. "Der Broker-Dealer hat das Recht zu diktieren, was der registrierte Vertreter auf seinem Computer hat, aber der Berater sieht sich als unabhängig an. Und raten Sie, wer der Berater nicht auf seinen Computer zugreifen möchte? Der Broker-Dealer."

Gleichzeitig ist es die Pflicht der Berater, ihre Kundenkonten besser zu schützen, sagte Quon.

" Das Heimbüro kann die von den Regulierungsbehörden bereitgestellten Richtlinien verteilen und durchsetzen, aber die Die Verantwortung für die Sicherung der mobilen Geräte liegt letztendlich beim Berater, insbesondere in einem Szenario, in dem das Gerät nicht vom Sponsoring bereitgestellt wurde ", sagte er.

Techno Flux

Wes Stillman, CEO RightSize Solutions, ein Technologieanbieter für Beratungsunternehmen, sagte, der Wechsel zu webbasierten Anwendungen für Berater, Broker-Händler, Endanleger und Drittanbieter habe die Cybersicherheitsherausforderungen weiter erhöht, insbesondere da immer mehr Menschen digitale Geräte nutzen, um Geschäfte zu tätigen außerhalb eines traditionellen Arbeitsplatzes.

Wenn beispielsweise ein Berater ein Kontoformular ausfüllt, während er einen neuen Kunden in einem Café trifft, wird das Formular wahrscheinlich auf ein mobiles Gerät heruntergeladen und schließlich auf einem anderen Computer gespeichert ein Heimbüro irgendwo. Überall dort, wo sich das neue Konto befindet, sei es in Ruhe oder in der Übertragung, sei seine Sicherheit gefährdet, sagte Stillman.

"Je mehr sich die Technologie entwickelt, desto mehr stellt sie eine Herausforderung für die Sicherheit von Informationen dar, wenn sie außerhalb der Lösung gespeichert wird, die der Broker-Dealer eingerichtet hat", sagte er. "Aber wenn der Broker-Dealer sagt" Sie müssen unsere Plattform nutzen, "kann das Menschen in die falsche Richtung reißen."

In einem Brief zur Einführung der Prioritäten von 2016 sagte FINRA Chairman und CEO Richard Ketchum eine formalisierte Einschätzung der Unternehmenskultur hilft FINRA, "besser zu verstehen, wie Kultur die Compliance- und Risikomanagementpraktiken eines Unternehmens beeinflusst."

Während der FINRA-Brief sagt, dass die Behörde "nicht die Unternehmenskultur diktieren will", möchte sie einzelne Unternehmen und regulierte Ressourcen bewerten

FINRA plant, fünf Indikatoren für die Unternehmenskultur zu bewerten: ob Kontrollfunktionen innerhalb der Organisation bewertet werden; ob Verstöße toleriert werden; ob die Organisation versucht, Risiko- und Compliance-Ereignisse zu identifizieren; ob Vorgesetzte effektive Vorbilder der Unternehmenskultur sind; und ob Subkulturen in Zweigstellen und Handelsschaltern der gesamten Unternehmenskultur entsprechen.

Eine Januar-Gesetzesaktualisierung von der Anwaltskanzlei Dechert LLP unterstreicht, wie ernst die Regulierungsbehörden jetzt bei ihren Prüfungen von Broker-Händlern und Anlageberatern die Cybersicherheit nehmen. Die Anwaltskanzlei teilte mit, dass eine Woche nach der Veröffentlichung der OCIE Cybersecurity Examination Initiative der SEC im September 2015 ein Verfahren gegen einen Berater wegen Nichteinhaltung von Cybersicherheitsrichtlinien und -verfahren unter Verstoß gegen eine Regel zum Schutz der Internetsicherheit eingeleitet wurde Privatsphäre der Verbraucher finanziellen Informationen.

Der Berater, St. Louis-basierte RT Jones Capital Equities Management hat zugestimmt, die Gebühren zu begleichen, dass es die erforderlichen Cybersicherheitsrichtlinien und -verfahren vor einem Verstoß, der die persönlich identifizierbaren Informationen von etwa 100.000 Personen kompromittiert hat, nicht erstellt hat. R.T. Jones stimmte zu, eine Strafe von $ 75.000 für den Angriff auf seinen Webserver im Juli 2013 durch einen unbekannten Hacker zahlen zu müssen, der Zugang zu Tausenden von Kunden der Firma hatte und dadurch für Diebstahl anfällig wurde.

Für Darren Tedesco, Leiter der Technologie für Commonwealth Financial Network , dessen großer unabhängiger Broker-Dealer die OCIE-Untersuchung zur Überprüfung der Internetsicherheit erhielt und darauf reagierte, erhielt seine Firma nie eine Antwort von der SEC.

"Manchmal sind keine Nachrichten gute Nachrichten", sagte Tedesco. "Beeindruckend war, dass die SEC intelligente Fragen stellte, die noch niemand zuvor gefragt hatte, wie Daten gesichert werden. Es ist erfrischend zu sehen, dass die Regulierungsbehörden die richtigen Fragen zur Cybersicherheit stellen. Sie möchten sicherstellen, dass Daten entsprechend geschützt sind."

Mehr laden

Vorheriger Artikel

Leitfäden für eine neue LTCi-Welt

Leitfäden für eine neue LTCi-Welt

(TS) Wie werden Träger, Berater und Verbraucher? auf alle neuen Realitäten in der Pflegeversicherung reagieren? Jetzt, da die Übergänge von 2013 hinter uns liegen und 2014 da ist, ist eines klar: Jede Gruppe braucht die bestmöglichen Informationen über den neuen Markt Landschaft. Verbraucher müssen zur Kenntnis nehmen Trotz der schwachen Verkäufe im Jahr 2013 gibt es eine zwingende Nachfrage der Verbraucher nach Langzeitpflege (LTC)....

Nächster Artikel

Was Kunden wirklich von Beratern halten, in 6 Charts

Was Kunden wirklich von Beratern halten, in 6 Charts

Berater profitieren von der Performance des Aktienmarktes . Aber manchmal, in Bullenmärkten, entschieden sich die Kunden, selbst zu investieren, wie Brancheninsider sagen. Was spüren Anlegerkunden heute wirklich von ihren Beratern und dem Wert, den sie bieten? Das ist die Frage, die Qualtrics kürzlich gestellt hat , die Unternehmen dabei hilft, Daten aufzuzeichnen und zu verfolgen, die sie X-Daten nennt, die Kunden-, Produkt- / Service-, Mitarbeiter- und Markenerfahrungen messen....

Senden Sie Ihren Kommentar