Sommario:
-
- Gli attacchi di phishing di Spear sono aumentati a 1, 305 nel 2015, a partire da 814 l'anno prima, secondo Symantec.E l'industria finanziaria era l'obiettivo principale, con il 35% degli attacchi rivolti alle imprese finanziarie, assicurative o immobiliari. Inoltre, questi tipi di attacchi stanno diventando più stealthi, dicono gli esperti. Symantec afferma che un numero di gruppi, inclusi i gruppi sponsorizzati dal governo, sono stati attivi negli attacchi di phishing durante il 2015.
- Oltre all'incidenza di attacchi informatici, le aspettative dei clienti verso la sicurezza sono aumentate negli ultimi anni. Così hanno le aspettative dei regolatori. In una consulenza rilasciata nel gennaio 2015, l'Associazione Nord America degli Amministratori dei Titoli ha avvertito gli investitori che dovrebbero discutere la sicurezza informatica con i loro consulenti.
- La SEC ha adottato un regolamento sulla "conformità e integrità dei sistemi" nel novembre 2014, che richiede la segnalazione di intrusioni significative (per la lettura correlata, vedere:
- Oltre a addestrare i dipendenti sulle migliori pratiche, come come proteggere una password e come identificare una truffa di phishing, le aziende (per le relative letture, vedere:
Gli hacker rappresentano un rischio significativo per i consulenti finanziari - non solo in tempo o denaro, ma anche in termini di danno alla reputazione. I consiglieri trascorrono una fiducia di una vita professionale che può essere erosa in un clic del mouse.
L'ex commissario della Securities and Exchange Commission (SEC) Luis Aguilar, in un discorso del giugno 2015, ha definito l'industria finanziaria come "obiettivo primario" per i cyber criminali internazionali. Una delle principali U. S. banca è stata attaccata 30.000 volte in una sola settimana, una media di una volta ogni 34 secondi. (Per ulteriori informazioni, vedere: i consulenti finanziari si sentono Cyber-insecure .)
I crimini informatici dovrebbero portare a 450 miliardi di dollari di perdite finanziarie totali quest'anno. Gli attacchi vengono in una varietà di sapori: da furti di identità brutali a ransomware a sofisticate tecniche di phishing. Gli attacchi alle grandi aziende come eBay, JPMorgan Chase o Home Depot possono fare i titoli, ma gli esperti dicono che le piccole imprese devono essere ugualmente vigili e non supporre che siano al di sotto del radar perché non sono un nome di famiglia.
Secondo un recente studio di Symantec, i ladri di identità hanno colpito 429 milioni di record nel 2015, in crescita del 23% dall'anno precedente. E poiché le aziende non stanno pienamente denunciando la portata delle loro violazioni, il numero effettivo di identità compromesse potrebbe essere più elevato. Una stima conservativa, afferma Symantec, spingerebbe il numero di identità effettive esposte a più di 500 milioni.Nove violazioni da sole hanno esposto più di 10 milioni di identità. Ma molti attacchi più piccoli non fanno mai la notizia. La violazione media ha esposto meno di 5.000 identità. Nonostante la difficoltà di quantificare l'ambito del problema, le ragioni di questi furti sono semplici come l'offerta e la domanda. Aguilar ha affermato che il mercato stimato per carte di credito rubate è più grande del mercato per la cocaina di 29 miliardi di dollari.
La caduta da furti di identità può essere grave. È costoso comunicare ai clienti e imbarazzare per informarli di una violazione. Il mancato proteggere le identità dei clienti può farti sfidare le leggi che disciplinano la privacy, con conseguenti sanzioni o divieti.)
Ransomware Secondo il rapporto Symantec, l'incidenza di attacchi di ransomware è aumentata del 35% nel 2015. In questi attacchi, gli hacker commandeer un singolo computer o rete e poi richiedono il pagamento, a volte in Bitcoin. In un altro tipo di attacco ransomware, gli hacker crittografano i singoli file, quindi chiedono il riscatto in cambio della chiave di crittografia. Spear Phishing
Gli attacchi di phishing di Spear sono aumentati a 1, 305 nel 2015, a partire da 814 l'anno prima, secondo Symantec.E l'industria finanziaria era l'obiettivo principale, con il 35% degli attacchi rivolti alle imprese finanziarie, assicurative o immobiliari. Inoltre, questi tipi di attacchi stanno diventando più stealthi, dicono gli esperti. Symantec afferma che un numero di gruppi, inclusi i gruppi sponsorizzati dal governo, sono stati attivi negli attacchi di phishing durante il 2015.
Aumentate le aspettative
Oltre all'incidenza di attacchi informatici, le aspettative dei clienti verso la sicurezza sono aumentate negli ultimi anni. Così hanno le aspettative dei regolatori. In una consulenza rilasciata nel gennaio 2015, l'Associazione Nord America degli Amministratori dei Titoli ha avvertito gli investitori che dovrebbero discutere la sicurezza informatica con i loro consulenti.
Nel suo discorso, Aguilar ha dichiarato che è "deludente" che tante aziende non hanno adottato misure fondamentali per mitigare la minaccia di attacchi informatici. Molti non hanno designato un agente di sicurezza informatica o hanno effettuato un'assicurazione informatica. Requisiti di conformità
La SEC ha adottato un regolamento sulla "conformità e integrità dei sistemi" nel novembre 2014, che richiede la segnalazione di intrusioni significative (per la lettura correlata, vedere:
Educazione dei clienti su Cyber Security < entro 24 ore. Il regolamento riguarda le borse valori e le infrastrutture di modello. Ma è stato sostenuto come un modello di regolazione in quanto è basato sul rischio - incoraggiando le aziende a concentrare le loro risorse preventive sui sistemi in cui esiste il maggior potenziale di danno - e sollecita l'impegno di una leadership senior a livello di consiglio in cui esiste un reale responsabilità.
La divisione di esecuzione della SEC indaga le violazioni, inclusi scenari in cui i consiglieri di investimento non riescono a proteggere le informazioni riservate dei clienti. Nel 2015 la divisione della gestione degli investimenti della Commissione ha emesso una guida per la sicurezza informatica: verificare periodicamente i tuoi sistemi di tecnologia dell'informazione, sviluppare una strategia di sicurezza informatica e addestrare i dipendenti per attuarla. Gli esperti dicono che le risorse umane di un'impresa sono spesso la sua più grande vulnerabilità. Un recente studio IBM ha scoperto che gli addetti ai lavori erano responsabili di una maggioranza delle violazioni della sicurezza informatica. Anche quando non sono sistemi che interferiscono intenzionalmente, i dipendenti possono inavvertitamente lasciare la porta aperta per i ladri. .
Oltre a addestrare i dipendenti sulle migliori pratiche, come come proteggere una password e come identificare una truffa di phishing, le aziende (per le relative letture, vedere:
SEC ai consulenti: implementare piani di sicurezza Cyber Security < dovrebbero avere politiche scritte che precisano le procedure in caso di attacchi informatici e le misure adottate per prevenire le violazioni. L'Associazione Nord America Securities Administrators sottolinea l'importanza delle politiche scritte.
La SEC nelle sue recensioni recenti ha trovato molte aziende hanno tali politiche ma che spesso non hanno specificato come essi determinerebbero le perdite di clienti risultanti da un attacco. In una recente revisione, la SEC ha trovato molte aziende non riescono a condurre valutazioni dei rischi dei loro fornitori di terze parti, lasciandole esposte e vulnerabili agli attacchi che hanno sfruttato le relazioni con i fornitori esterni.La cosa importante è effettuare la dovuta diligenza per mostrare ai regolatori che hai preso seri rischi.
La linea inferiore I crimini informatici sono in aumento e stanno crescendo in modo più sofisticato in natura. I consulenti devono disporre di un sistema per proteggerli contro di essi e assicurarsi che siano conformi alle normative. (Per ulteriori informazioni, vedere: Cyber Crime: Suggerimenti su come evitare una catastrofe
.)