給顧問的網絡安全建議
Timothy Inklebarger
《圓桌》雜誌2023年3月9日

給顧問的網絡安全建議

金融諮詢公司需要制定強而有力的計劃,從而阻擋來自黑客和監管機構的網絡威脅。

未雨綢繆是理財顧問的責任,但網絡安全專家警告說,如果他們沒有採取必要措施來避免網絡攻擊,那他們自己可能會面臨一場災難。

網絡安全諮詢公司 Invisus 的創辦人兼行政總裁 James Harrison,以及網絡安全專家 John Sileo 都希望,大型和小型企業都能制定一個安全計劃,而非由 IT 主管或精通技術的朋友來管理。

Harrison 表示,萬一數據真的洩露,制定防御策略和行動計劃有助保護您的公司,並加強您在法律方面的抵御能力。「我們生活在數據時代,數據堪比黃金。數據比許多金融工具更有價值,所以您在規劃過程中應合理考慮第三方風險。」他如此說道。

兩名專家皆表示,網絡釣魚詐騙、黑客入侵和其他類型的網絡攻擊,對金融服務行業來說可謂家常便飯,但隨著居家辦公的員工人數激增,許多公司面臨著一系列不斷變化的威脅,因此制定數碼安全措施刻不容緩。

開始

根據 Sileo 的說法,制定網絡安全計劃的核心部分之一是選擇一間能進行安全評估的公司。「不論是只有一名員工的小公司,還是有上千名員工的大企業,如果您沒有聘請外部安全公司來驗證防御系統是否存在漏洞,那請務必盡快將其提上議程。」他如是說。

Sileo 建議那些還未制定安全計劃的顧問去諮詢同行,瞭解一下情況。「如果您是頂尖會員或者某類商業團體的一份子,可以請他們為您推薦提供安全評估服務的機構;如果您沒有加入這些團體,我強烈建議您去當地的社區銀行諮詢一下,問問他們能否推薦一間信譽良好的供應商。」他說道。

他還表示,聘請公司進行網絡安全評估的額外成本十分值得,因為網絡安全在疫情期間發生了變化,雲端運算範疇尤為如此。「網絡安全,預防的成本遠比復原要低。」

Harrison 表示,安全評估可以確定您的系統是否存在漏洞,檢查您的安全計劃是否萬無一失。「首先,顧問需要請管理層重視網絡安全問題。」Harrison 說道。「那麼,公司有沒有任命員工來監管網絡安全呢?如果您是獨立經營者,那這個人就是您自己。」他說道。

如果一間公司有幾名合夥人,那就要明確定好由誰承擔網絡安全的監管職責,同時此人還要負責確保該計劃符合網絡安全法規。「他們希望看到清晰成文的政策與程序,審計師和監管機構會查看這些資料。」該計劃應涵蓋基本的檢查清單項目,如進行年度風險評估、防止數據洩露的資訊,以及員工應遵循的培訓政策。

「這個計劃不但可以保護您自己,還能讓客戶放心將資料交給我們。」Harrison 說道。「您不一定要向客戶展示這些政策與程序,但他們只要知道您制定了一份成文的安全計劃並嚴格遵守,而且您的計劃符合美國證券交易委員會和國家的規定,這個事實就會令他們感到安心。」他這樣說。

縮窄差距

初步評估完成後,企業東主應在評估結果的基礎上制定或構建現有的政策與程序。Sileo 建議公司首先找出系統過於陳舊的電腦。他說,在某些情況下,電腦可能需要更換,因為舊型號可能無法支援安全系統更新。

他說,更新這些系統是確保網絡安全的關鍵。Sileo 說,公司需要檢查所有用於工作的電子裝置,如電腦、平板電腦、手機和智能裝置,他建議公司(尤其是小公司)在電腦上設定自動更新,這樣每次遇到新威脅,系統就能自動更新。

這個計劃不僅可以保護您自身,還能讓客戶放心將資料交給我們。
—James Harrison

Sileo 補充指,接下來,強大的網絡安全計劃少不了數據加密技術。這包括電腦和硬碟上的所有數據,最重要的是,平台之間傳輸或傳輸至雲端的數據。「我發現很多理財規劃師和人壽保險代理人與客戶之間的電郵都沒有加密,這些電郵內都涵蓋社會保障號碼、金融帳戶和銀行帳戶資料。」

Harrison 表示,但如今,如果員工不在辦公室上班,那麼建立防火牆和虛擬專用網絡 (VPN) 等數據加密和其他安全措施也難以完全保護公司的數據,因為黑客可以透過入侵互聯網 Wi-Fi 連線來存取數據。「他們會直接透過您的 VPN、各個多重驗證渠道,從您的居家辦公場所直接進入公司系統。」Harrison 警告道。

「大型公司也在努力解決這個問題,但這其實不算甚麼難題。」他鼓勵大小型企業讓員工簽署一份協議,確保他們遵守居家辦公的網絡安全協議。公司還應定期檢查家中使用的 Wi-Fi 路由器和電腦的安全狀況。

不只是基本

落實該計劃為建立長期網絡安全策略奠定了基礎,例如安排第三方顧問進行定期安全檢查。Harrison 表示,為了及時瞭解不斷變化的威脅和新法規,您的計劃一定要走在內部 IT 團隊的前面。

他表示,很多 IT 專業人士都麼有能力測試漏洞並與新法規保持同步。「另外,IT 專業人士無法由內而外地測試(漏洞)。他們無法使用那些強大的工具,試圖攻擊或入侵您的網絡,檢查您可能會遭受黑客入侵的地方。」

Harrison 表示,有時網絡攻擊來自您的附屬公司,而這些公司已淪為黑客攻擊的目標,因此漏洞更難修補。他指出,近期對沖基金經理在交易《財富》(Fortune) 雜誌 500 強企業的股票時,很多人都會研究這些公司的附屬公司,從而識別出網絡安全威脅。「他們如何陷我們於風險中呢?如今,上市公司都有網絡安全程度的評分,他們將深入供應鏈範疇,以驗證第三方風險。」他如是說。不論企業規模如何,理財顧問都應該考慮這種模式。

他還建議企業購買網絡安全保險,以防出現網絡入侵无法抵擋的情況。網絡風控計劃有助公司抵御安全漏洞帶來的威脅,但要是您的系統遭受黑客攻擊,該計劃亦能助您獲得不錯的賠償。

「如果您提出保險索償,網絡保險供應商會無條件接受。」他如此說道,另外還建議中小型企業购买 50 萬至 100 萬美元的保險。「然而您也必須明白,若缺乏計劃或者計劃不周全,沒有打點好各個方面,他們將拒絕您的索償申請,並加倍收取來年的保費,所以遵守法律法規至關重要,而制定一個網絡安全計劃並記錄在案,則不失為一種簡單易行且經濟實惠的辦法。」

聯絡方式

James Harrison james@invisus.com
John Sileo john@sileo.com