财政部引用网络市场贷款行业的网络挑战

金融机构

2016年5月10日,美国财政部(财政部)成为最新的联邦机构,以突出Cyber​​security在金融服务业的重要性。在它白皮书在去年对在线市场贷款行业的信息请求后,涉及技术进步的机遇和挑战,以及为消费者和企业安全融资的方式而导致改变的数据。

虽然不是白皮书的重点,但财政部将网络安全视为“金融部门所有类型的公司”的重要关注,并为在线贷款生态系统中的无数球员的最佳做法提供了指导,包括:

  • 建立面向公司特定威胁景观的基线网络安全计划,以保护消费者并减少网络风险。
  • 制定“详细”的网络安全事件反应和恢复计划,以确定主要利益攸关方的角色和责任,包括董事会和管理,监管机构,执法,供应商和客户。
  • 制定网络威胁信息共享关系和协议,包括通过金融服务信息共享和分析中心(FS-ISAC)。

这些核心建议呼应了许多金融部门监管机构在过去的18个月内发布的网络安全框架和指导。例如,2015年2月,证券交易委员会(SEC)金融行业监管机构(Finra)在广泛的行业调查之后发布了报告,详细说明了常见的陷阱和网络安全的最佳实践对于经纪和咨询部门。这联邦金融机构考试理事会(FFIEC)遵循2015年6月,通过揭幕其长期预期网络安全评估工具(猫)协助金融机构识别和评估其企业网络安全计划的风险,劣势和总成熟度,并准备监管机构考试。然后在2015年10月,秒宣布了它对投资顾问的第一次网络安全执法行动,并承诺一个第二轮调查由这件事合规检查和考试办公室(OCIE)专注于网络问题。

涉及在线市场贷款的公司很好地建议将财政部说明作为早期信号,即在这个创新空间中调查和执行在拐角处。此外,行业应该为审查不仅要关注传统金融机构的重要可能性,还要为传统金融机构专注,而且还对在线贷款生态系统中的各种实体,包括营销公司,支付处理器,贷款服务,信用评分机构,数据analytics shops, etc. Companies need look no further than the Consumer Financial Protection Bureau’s最近的执法对抗DWolla,Inc。,在线支付处理器,作为监管机构的证据是激光的,激光专注于他们规范的行业内的所有玩家。

开发事故响应计划和威胁信息共享协议是良好的开始,但它们绝不是足够的。全面且有效的网络安全方案需要融合行政,身体和技术保障和流程,其中许多人在最近的指导下奠定了SEC和FINRA的指导和其他是FFIEC的猫的重点,并包括(至少):

  • 定义支持智能化,基于事实的决策的治理框架和/或基于风险胃口和评估的董事会。
  • 数据的识别和库存(包括通过企业的这些数据的流动及其使用)以及访问公司网络的物理资产。
  • 依赖整体网络架构和个人控制的防御深度策略,重点是识别访问管理策略,数据加密和仔细范围的穿透测试。
  • 网络安全标准和评估以及供应商的评估和适当调查,从终端和整个终身循环开始。
  • 员工培训包括互动会议,经常刷新,并索引企业的特定网络安全风险,以及员工意识的定期考验,例如嘲笑网络钓鱼练习。
  • 通过上述评估,公司通过本公司确定的关键风险覆盖范围的网络保险。

金融部门监管机构在制定有用的框架和最佳实践方面提出了指导该行业的最佳实践,但随着在线市场贷款的新技术和连接汇合,“准备”将需要继续勤奋和投资。