SEC应对网络安全威胁的新措施

关键要点

• 美国证券交易委员会（SEC）正在考虑如何更好地处理网络威胁。
• SEC在3月份提出了新修订案，要求投资公司和上市公司提升IT安全管理和事件报告。
• 对JP Morgan Chase、UBS和TradeStation等公司进行了罚款，原因是客户身份程序不合规。
• 新规将要求金融机构报告重大网络安全事件以及定期更新先前报告的事件。

美国证券交易委员会（SEC）主席加里·根斯勒（GaryGensler）在2021年9月14日的听证会上指出，随着系统和成员之间的违规事件日益增多，SEC正在审视如何更有效地应对网络安全威胁。SEC在3月份提出的新的修订案，意在加强投资公司和公众公司在IT安全管理和事故报告方面的要求。

根斯勒在发布会上表示：“多年来，我们的信息披露机制已随着风险和投资者需求的变化而演变。如今，网络安全是上市公司必须越来越多地面对的新兴风险。投资者希望了解更多有关公司如何管理这些日益增长的风险的信息。”他进一步指出，许多发行人已经提供给投资者网络安全的披露，若这些信息以一致、可比较和对决策有益的方式呈现，将会使公司和投资者都受益匪浅。

SEC对身份程序和事件报告的严格要求

在7月，SEC对JP MorganChase、瑞士银行（UBS）以及在线股票交易平台TradeStation进行了严厉处罚，因它们在2017年1月至2019年10月之间违反了身份盗窃红旗规则（RegulationS-ID）。该规则旨在保护投资者免受身份盗窃的风险。三家金融机构已同意停止未来的违规行为，并分别支付120万美元、92.5万美元和42.5万美元的罚金。

在新的修订案中，SEC提出的要求还包括金融机构需对“重大网络安全事件”提供即时报告，并定期更新之前报告的事件。SEC表示，这一“拟议规则将把网络安全事件定义为任何未经授权的发生，威胁到注册者信息系统的保密性、完整性或可用性。”在新规中，“信息系统”的定义非常广泛，特别是金融公司利用云或主机系统时。

修订案中提到：“该计划还要求定期报告注册者识别和管理网络安全风险的政策和程序，注册者董事会对网络安全风险的监督，以及管理层在评估、管理网络安全风险及实施网络安全政策的角色与专业性。”同时，它还表示：“SEC提议进一步要求关于董事会网络安全专业知识的年度报告或某些代理披露。”

根据德勤2021年的《网络安全未来调查》，有超过72%的受访者表示，他们的组织仅在2020年就经历了1到10起网络事件或违规。此外，几乎四分之三（74%）的网络攻击针对金融行业。可以看出，金融行业在网络安全方面面临着严峻的挑战。