網絡安全和證券法—SEC就現代網絡攻擊採取的措施
作者:蓋瑞·詹斯勒(Gary Gensler)
編譯:吳尊傑/法務專員[1]
謝謝你。很高興與西北大學普利茲克法學院年度證券監管研究所合作。按照慣例,我想指出我的言論是我自己的,我不是代表委員會或SEC成員發言。
你們有些人可能知道,我經常喜歡談論1930年代我們國家證券法的建立。
所以,今天,我想再次討論30年代——但這一次,我實際上是指1830年代。
1834年,也就是美國證券交易委員會成立的前一個世紀,法國波爾多的布蘭克兄弟進行了世界上第一次黑客攻擊。這兩位銀行家賄賂電報運營商,讓他們知道市場走向。因此,他們獲得了訊息優勢,而不是等待訊息從巴黎郵車到達的投資者。
由於法國沒有禁止濫用數據網絡的法律,這對兄弟並沒有因為他們的行為而被定罪。[2]布蘭克家族因此直截了當地將他們的法郎收入囊中。
您可能想知道這一切與SEC有甚麼關係?嗯,我認為這說明世界上第一次網絡安全攻擊涉及證券。
在布蘭克家族竊取證券市場訊息近200年後,金融部門仍然是網絡攻擊的真正目標。更重要的是,它越來越融入社會的關鍵基礎設施中。
正如著名的銀行搶劫犯威利·薩頓(Willie Sutton)在談到他為什麼搶劫銀行時所說的那樣:「因為那裡有錢。」[3]
我們網絡的互聯性、預測性數據分析的使用以及對數據的永不滿足的需求正在加速。國家主體和非國家黑客有時會嘗試以各種實體和企業為目標。為什麼?竊取數據、智慧財產權或金錢;降低我們對金融體系的信心;擾亂經濟;或者只是展示他們的能力。所有這一切都使我們的財務賬戶、儲蓄和私人訊息面臨風險。
據估計,網絡攻擊的經濟成本至少為數十億美元,甚至可能達到數萬億美元。[4]黑客攻擊了經紀交易商[5]、政府機構[6]、肉類加工商和管道。[7]這些攻擊可以採取多種形式,從拒絕服務到惡意軟體、再到勒索軟體。
當然,這不僅僅是經濟成本。網絡安全是國家安全的核心。過去幾週在俄羅斯和烏克蘭發生的事件再次凸顯了網絡安全對我們國家利益的重要性。
網絡團隊
最近,網絡安全和基礎設施安全局(CISA)主任 Jen Easterly 表示「網絡安全是一項團隊運動。」她說「我們每個人都是網絡團隊的成員」。[8]
私營部門的人在前線。正如拜登總統最近所說「我們的大部分關鍵基礎設施都由私營部門擁有和運營,聯邦政府無法單獨應對這一挑戰。」[9]
其他政府實體,例如聯邦調查局和CISA,是Cyber Team的隊長,但SEC 也可以發揮作用。
今天,我們加入了金融穩定監督委員會(FSOC)和金融暨銀行訊息基礎設施委員會(FBIIC)。我們與金融穩定委員會(FSB)、國際證券委員會組織 (IOSCO)、G7 網絡專家組和其他地方的外國同行合作。
我們作為資本市場的監管機構,在SEC註冊人方面發揮著關鍵作用——從交易所和經紀人到顧問和公共發行人。網絡與我們三部分使命的每一部分有關,特別是與我們維持有序市場的目標有關。
我們有許多涉及網絡風險的規則,包括但不限於業務連續性、賬簿和記錄、合規性、披露、市場准入和反欺詐。[10]我們的考核部(EXAMS)發布了有關網絡安全主題的各種風險警報和聲明,[11]並於2020年發布了一份關於網絡安全和彈性觀察的報告。[12]這項工作幫助SEC註冊人和公眾準備和管理其中一些網絡風險。
不幸的是,網絡事件經常發生。歷史和任何對人性的研究都告訴我們,它們將繼續發生。有鑑於此,以及不斷變化的網絡安全風險格局,我們SEC正在努力改善金融部門的整體網絡安全態勢和彈性。
政策
儘管大量此類工作發生在私營部門和其他政府部門,但在考慮SEC的網絡安全政策時,我從三個方面考慮:
- 網絡衛生和準備;
- 向政府報告網絡事件;
- 在某些情況下,向公眾披露。
我們的網絡安全政策工作涉及四組實體:
金融領域的SEC註冊人,例如經紀自營商、投資公司、註冊投資顧問和其他市場中介機構
上市公司
與SEC金融部門註冊人合作但不一定自己在SEC註冊的服務提供商—美國證券交易委員會本身。
我們期待與CISA、FSOC、私營部門和網絡團隊的其他成員合作開展這項工作。
金融部門SEC註冊人
首先,讓我談談我們與金融部門註冊人相關的三個項目。
監管系統合規性和完整性
首先,我相信我們有機會更新監管系統合規性和完整性(Reg SCI)。[13]
什麼SCI?這是2014年通過的規則,涵蓋了大型註冊人的子集,包括證券交易所、票據交換所、替代交易系統、自律組織 (SRO) 等——金融基礎設施是資本市場支柱的一部分。綜合審計追踪 (CAT) 作為每個參與SRO的設施,也受Reg SCI的約束。
該規則有助於確保這些大型重要實體擁有完善的技術計劃、業務連續性計劃、測試協議、數據備份等。 Reg SCI的核心目標是減少系統問題的發生並在它們確實發生時提高彈性。
然而,自 SEC採用Reg SCI以來的八年裡,發生了很多變化。因此,我向機構成員詢問了我們如何擴大和深化這條規則。例如,我們是否可以考慮將 Reg SCI應用於目前未涵蓋的其他大型重要實體,例如最大的造市商和經紀交易商?[14]
為此,委員會在2020年提議將大型國債交易平台納入SCI保護傘之下。在我們的下一次委員會會議上,我們將考慮是否重新提出該規則。[15]
同樣,我認為可能有機會深化Reg SCI,以進一步加強重要金融實體的網絡潔淨。
基金、顧問和經紀自營商
接下來,我想討論更廣泛的金融部門註冊人群體,如投資公司、投資顧問和經紀交易商,超出Reg SCI涵蓋的範圍。
正如我之前提到的,該組必須遵守可能涉及其網絡安全實踐的各種規則,例如賬簿和記錄、合規性和業務連續性法規。在此基礎上,我已要求機構成員就如何加強金融部門註冊人的網絡安全潔淨和事件報告提出建議,供委員會考慮,同時考慮CISA和其他機構發布的指導。
我認為此類改革可以降低這些註冊人在重大網絡安全事件中無法保持關鍵運營能力的風險。[16]我相信他們可以為客戶和投資者提供更好的訊息來做出決策,創造激勵措施以改善網絡潔淨,並讓委員會更深入地了解中介機構的網絡風險。
數據隱私
涉及金融部門註冊人的下一個領域是客戶暨客戶數據隱私及個人訊息。
國會在1999年的Gramm-Leach-Bliley法案中解決了這個問題。委員會在該法律之後通過了S-P條例。它要求註冊經紀自營商、投資公司和投資顧問保護客戶記錄和訊息。[17]這就是為什麼直到今天,我們中的很多人都會收到通知,告知我們公司的隱私政策。
自從Reg S-P被採用以來的二十多年——網絡安全世界的永恆——我認為可能有機會對這一規則進行現代化和擴展。特別是,我向機構成員詢問了有關客戶和客戶在其數據被訪問時如何接收有關網絡事件的通知的建議,例如他們的個人身份訊息。這還可能包括提議更改Reg S-P目前要求的通知時間和內容。
上市公司
接下來,讓我談談上市公司關於網絡風險和網絡事件的披露。
基本交易是這樣的:投資者可以決定他們希望承擔的風險。從公眾那裡籌集資金的公司有義務定期與投資者分享訊息。
披露制度在過去幾十年中不斷演變。網絡安全是公共發行人越來越必須應對的新興風險。
因此,我要求工作人員就公司的網絡安全實踐和網絡風險披露提出建議,供委員會考慮。這可能包括他們在網絡安全治理、戰略和風險管理方面的實踐。
許多發行人已經向投資者提供了網絡風險披露。我認為,如果這些訊息以一致、可比較和對決策有用的方式呈現,公司和投資者都會受益。
此外,我還請員工就在網絡事件發生時,是否以及如何更新公司向投資者披露的訊息方面提出建議。
別搞錯了:上市公司在網絡安全披露方面已經承擔了某些義務。如果客戶數據被盜,如果公司支付了勒索軟件,這對投資者來說可能很重要。正如最近的案例所示,未能準確披露網絡安全事件和風險可能會導致執法行動。[18]
服務供應商
接下來,讓我轉向服務提供商。
服務供應商通常在我們的金融部門中發揮關鍵作用。這些服務供應商遠遠超出了雲端。它們可以包括投資者報告系統和供應商、中台服務供應商、基金管理員、指數供應商、託管人、數據分析、交易和訂單管理以及定價和其他數據服務等。其中許多實體可能未在SEC註冊。
我已要求機構成員考慮有關我們如何進一步解決來自服務供應商的網絡安全風險的建議。[19]這可能包括各種措施,例如要求某些註冊人確定可能構成此類風險的服務供應商。此外,它可能包括讓註冊人對服務供應商的網絡安全措施負責,以防止不當訪問和投資者訊息。這有助於確保重要的投資者保護不會丟失,關鍵服務不會因金融部門註冊人越來越依賴外包服務而中斷。
話雖如此,值得注意的是,銀行機構直接通過《銀行服務公司法》監管和監督某些銀行的第三方服務供應商。為市場監管機構考慮類似的權威可能是值得的。
美國證券交易委員會
最後,顯而易見的是,SEC也不能免受網絡攻擊。
機構成員繼續努力保護SEC的數據和訊息技術,以及我們執行使命所需的行業數據。這項工作符合拜登總統關於改善國家網絡安全的行政命令[20],以及管理和預算辦公室的指令。
此外,我們繼續評估我們的數據足跡,並改進我們的數據收集流程,以便我們只收集完成使命所需的數據。
結論
總之,我們生活在一個技術快速變革的時代,面臨著前所未有的網絡安全挑戰。這些網絡風險對金融部門、投資者、發行人和整個經濟都有影響。SEC 可以與網絡團隊的其他成員一起發揮作用。
在第一次網絡黑客事件發生將近兩個世紀後,我認為我們可以考慮如何保護自己免受30年代的網絡安全陷阱——不是1830年代或1930年代,而是 2030年代。
關鍵字:加密貨幣、網絡安全、勒索軟件、SEC、SEC執法、證券執法、證券監管。
[1] 本文翻譯自SEC主席於2022年1月24日發表的聲明稿。SEC.org | Cybersecurity and Securities Laws. [online] Available at: < https://www.sec.gov/news/speech/gensler-cybersecurity-and-securities-laws-20220124> [Accessed 1 March 2022].
[2] See Tom Standage, “The crooked timber of humanity” (Oct. 5, 2017), available at https://www.1843magazine.com/technology/rewind/the-crooked-timber-of-humanity.
[3] See Federal Bureau of Investigation, “Willie Sutton,” available at https://www.fbi.gov/history/famous-cases/willie-sutton.
[4] See Jacquelyn Schneider, “A World Without Trust: The Insidious Cyberthreat” (Jan./Feb.), available at https://www.foreignaffairs.com/articles/world/2021-12-14/world-without-trust.
[5] See “Robinhood Announces Data Security Incident (Update)” (Nov. 16, 2021), available at https://blog.robinhood.com/news/2021/11/8/data-security-incident.
[6] See U.S. Government Accountability Office, “SolarWinds Cyberattack Demands Significant Federal and Private-Sector Response” (April 22, 2021), available at https://www.gao.gov/blog/solarwinds-cyberattack-demands-significant-federal-and-private-sector-response-infographic.
[7] See Financial Stability Oversight Council, “2021 Annual Report,” available at https://home.treasury.gov/system/files/261/FSOC2021AnnualReport.pdf.
[8] See Jen Easterly, “Cybersummit 2021 Keynote Address” (Oct. 6, 2021), available at https://www.cisa.gov/cybersummit-2021-session-day-1-welcome-and-opening-remarks (see 3:32).
[9] See President Joe Biden, “Remarks by President Biden on Collectively Improving the Nation’s Cybersecurity” (Aug. 25, 2021), available at https://www.whitehouse.gov/briefing-room/speeches-remarks/2021/08/25/remarks-by-president-biden-on-collectively-improving-the-nations-cybersecurity/.
[10] See U.S. SEC, “Cybersecurity,” available at https://www.sec.gov/spotlight/cybersecurity.
[11] See, e.g., “Cybersecurity: Ransomware Alert,” available at https://www.sec.gov/files/Risk%20Alert%20-%20Ransomware.pdf.
[12] See “SEC Office of Compliance Inspections and Examinations Publishes Observations on Cybersecurity and Resiliency Practices” (Jan. 27, 2020), available at https://www.sec.gov/news/press-release/2020-20.
[13] See U.S. SEC, “Spotlight on Regulation SCI,” available at https://www.sec.gov/spotlight/regulation-sci.shtml.
[14] 事實上,早在2014年就有幾位評論者建議我們可以考慮將Reg SCI要求添加到其他實體,包括基於安全的掉期數據存儲庫、基於安全的掉期執行設施和非ATS的經紀交易商。https://www.govinfo.gov/content/pkg/FR-2014-12-05/pdf/2014-27767.pdf, p. 72363-54.
[15] See “SEC Proposes Rules to Extend Regulations ATS and SCI to Treasuries and Other Government Securities Markets” (Sept. 28, 2020), available at https://www.sec.gov/news/press-release/2020-227.
[16] 作為金融業監管局(FINRA)成員的經紀自營商有FINRA規定的業務連續性計劃義務。See “4370. Business Continuity Plans and Emergency Contact Information,” available at https://www.finra.org/rules-guidance/rulebooks/finra-rules/4370.
[17] See “Regulation S-P,” available at https://www.sec.gov/spotlight/regulation-s-p.htm.
[18] See “SEC Charges Issuer With Cybersecurity Disclosure Controls Failures” (June 15, 2021), available at https://www.sec.gov/news/press-release/2021-102, and “SEC Charges Pearson plc for Misleading Investors About Cyber Breach,” available at https://www.sec.gov/news/press-release/2021-154.
[19] 在關注最關鍵的系統的同時,八年前,SEC在採用Reg SCI時處理了第三方關係。SCI實體「負責制定流程和要求,以確保其能夠滿足SCI法規對第三方代表SCI實體為某些金融部門實體運營的系統的要求。」See Regulation Systems Compliance and Integrity, https://www.govinfo.gov/content/pkg/FR-2014-12-05/pdf/2014-27767.pdf p. 72276.
[20] See “Executive Order on Improving the Nation’s Cybersecurity” (May 12, 2021), available at https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/.
留言列表
友好網站連結 
