北京時間4月17日早間消息,美國證券交易委員會(以下簡稱“SEC”)周三披露了一份路線圖,讓外界得以了解該機構將如何確保華爾街企業為探測和應對網絡攻擊作好準備。
這份4月15日發布的文檔包含9頁內容,里面列舉了SEC審查官可能會在檢查過程中向證券經紀公司和資產管理公司詢問的多個問題。
例如,該文檔要求企業提供一份全面列表,列舉其自2013年1月以來在何時探測到惡意軟件、遭受了DoS攻擊或發現了網絡漏洞。SEC還計劃對50多家公司就網絡安全相關問題展開檢查。
這份文檔發布前幾個月,SEC投資顧問檢查項目副主任簡·佳可(Jane Jarcho)在一次演講中宣布,該機構計劃檢查相關企業是否制定了防止網絡攻擊的政策。
SEC隨后在3月26日舉行圓桌會議,邀請專家就相關問題展開了辯論,包括上市公司、券商、資產管理公司和交易所如何防范網絡威脅,以及美國政府應該在確保這類攻擊如實披露方面扮演何種角色。
SEC對網絡攻擊的重視,正值多家大型企業遭遇數據泄密事件之際,包括塔吉特和Neiman Marcus兩家零售商。
這些事件引發了一場公共政策辯論,人們希望借此明確一些問題:企業應當如何將這類問題通知客戶?誰應當承擔由此產生的費用?這類信息應當如何向政府和公眾披露?
SEC前互聯網執法部門總監、現任管理咨詢公司Stroz Friedberg數字風險總經理的約翰·里德·斯塔克(John Reed Stark)表示,SEC列舉的問題不僅與眾不同,而且很有前瞻性。
“這份問卷披露后,SEC的這一檢查項目不再那么令人意外,而且為在SEC注冊的金融公司提供了罕見的準備機會。”他說。
除了詢問過往的攻擊事件外,SEC的文檔還指出,審查官可能會搜集企業如何保護用戶隱私的相關信息,包括用戶通過何種認證方式訪問網絡賬號,以及企業采取了哪些安全措施來保護PIN碼。
京公網安備 11010502049343號