【智盟洞察】金融顾问所面临的网络安全威胁

关注微信公众号，获取最新行业动态及热点新闻~

澳大利亚证券与投资委员会（ASIC）在2023年发布的一份报告中警告称：金融服务机构必须将网络安全与网络韧性（cyber resilience）置于首要位置。 

监管机构特别指出，这一责任应当涵盖整个组织的供应链，因为第三方关系常常成为网络犯罪分子轻易入侵系统与网络的入口。 

2022年，一项具有里程碑意义的法律判决认定，一家澳大利亚金融服务持牌机构（AFS licensee）因未能充分管理网络安全风险而违反了其牌照义务。 

法院在判决中指出，XX Advice Group Pty Ltd 的部分授权代表在其网络体系内存在多项风险管理措施不足的情况，其中包括： 

• 未更新防病毒软件 

• 缺乏系统备份

• 缺乏电子邮件过滤或隔离机制 

• 密码管理薄弱 

截至2020年5月的六年间，其网络安全风险管理不足导致客户遭遇多起网络安全事件。

在该案判决中，法官明确指出： “虽然网络安全风险无法被完全消除，但可以通过充分的网络安全文档与控制措施，显著降低风险水平。” 

在此基础上，ASIC 对所有澳大利亚金融服务持牌人（AFSLs）提出了具体期望，要求他们建立完善的网络安全管理体系。 

这些指导方针可归纳为以下三大方面： 

• 风险管理(Risk Management) ：建立健全的风险管理框架，用以识别、评估并管理网络安全风险。

• 事件管理(Incident Management) ：制定高效的事件应对机制，确保能够及时发现、响应并恢复网络安全事件。这包括： 

  • 与受影响客户及利益相关方沟通； 

  • 在遭受攻击时启用业务连续性计划（Business Continuity Plan）

• 信息披露与报告（Disclosure & Reporting）：保持透明与问责。这包括： 

  • 尽快向ASIC披露任何重大网络安全事件； 

  • 及时告知客户与其利益相关的网络安全风险或事件。 

XX Advice案的判决再次敲响警钟，网络安全失守不仅是技术问题，更是合规与治理的缺陷。

对于金融顾问机构而言，建立网络安全防线，不仅是履行监管要求的“底线”，更是赢得客户信任的“生命线”。

文章来源:

• https://www.sharesight.com/blog/cybersecurity-best-practices-financial-advisors/