想象有一天股票市场突然开始崩溃, 与市场走势相反, 你持有的股票从健康的绿色跌落到警铃响的红色. 鉴于地缘政治事件,我们看到过这样的日子,但这一天将有所不同.
这次崩盘不是任何地缘政治事件的结果. 当调查启动时, 据发现,最大的投资基金之一的网络安全漏洞导致全面出售股票. 黑客操纵了算法并禁用了安全措施以停止交易. 更令人担忧的是,交易所被入侵了, 太, 市场电路被切断了.
美国证券 & Exchange Commission (SEC) came out with reporting guidance around such breaches in 2011 and 2018; but in March 2022, 证券交易委员会提前一步 引入一项拟议规则 适用于注册投资顾问和基金在其SEC文件中报告此类事件. 这是从指导到执行的一步, 对于那些还没有做好保护资产免受网络攻击准备的公司来说,这将产生重大影响. 有趣的是, 印度证券交易委员会(SEBI)也在2018年提出了适用于基金经理和存管参与者的网络安全框架, 印度证券交易委员会要求这些公司报告网络安全事件只是时间问题.
这带来了几个相关的方面:
网络安全的弹性 & 事件响应
直到现在, 公司可以自愿披露此类事件, 他们可以选择不公开. 有了新规定, 它们必须形成一个识别违规行为和对此类事件作出反应的流程. 这些都必须记录在案,并提交给SEC. 它也带来了关注 网络弹性-面对此类网络安全事件,组织的信息技术基础设施的易感性或弹性如何? 加强现有的检查是组织建立网络安全弹性的第一步,不仅是跨一个业务功能,而且是跨整个组织. 组织需要明白一切都是相互关联的.
网络策略及管治
将网络战略与治理框架相结合,将意味着组织知道如何在网络弹性的道路上导航, 它将帮助他们遵守SEC的要求. 标准操作程序(sop)必须通过模拟来制定和验证,以确保组织能够很好地面对任何网络安全挑战.
事故报告
网络安全事件有可能严重阻碍组织立即响应威胁的能力. 当被入侵的组织没有任何流程来理解此类事件时,情况变得更加严峻. 报告事件要求负责报告的人员首先了解发生了什么. 如果数据泄露的程度被低估, 由于没有正确了解和报告事件的程度,可能会影响更多的系统和产品. 这可能比最初的破坏本身更有害,因为现在您的网络中有流氓代码在运行.
董事会的网络专家
责任止于董事会, 如果董事会没有网络专家的话, 他们可能会盘问首席技术官(CTO), 谁可能甚至不知道具体网络攻击的复杂性. 我们已经看到了在网络空间中发生的战争, 甚至在军队进入之前, 虚拟部队已经开始大肆破坏了. 因为美国证券交易委员会现在要求报告网络事件, 组织的董事会中必须有一名网络专业人士,以确保对监管机构的询问做出适当的回应, 股东与媒体.
