Hackere representerer en betydelig risiko for finansielle rådgivere - ikke bare i tid eller penger, men også når det gjelder skade på omdømme. Rådgivere bruker en profesjonell livstidsbyggertillit som kan utrykkes med et museklikk.

Kommisjonær Luis Aguilar, tidligere kommisjonær for Securities and Exchange Commission (SEC), i en tale i juni 2015, kalte finansbransjen det "primære målet" for internasjonale cyberkriminelle. En stor amerikanske bank ble angrepet 30 000 ganger i en enkelt uke, et gjennomsnitt på hver 34 sekund. (For mer, se: Financial Advisors Feels Cyber-Insecure .)

Cyberkriminalitet forventes å resultere i 450 milliarder dollar i totale økonomiske tap i år. Angrep kommer i en rekke smaker - fra brute-force identitetstyveri til ransomware til sofistikerte spyd-phishing-teknikker. Angrep på store firmaer som eBay, JPMorgan Chase eller Home Depot kan gjøre overskrifter, men eksperter sier at mindre bedrifter må være like våken og ikke å anta at de er under radaren fordi de ikke er et husstandsnavn.

Identitetstyveri

Federal Bureau of Investigation kaller cyber-identitetstyveri den raskest voksende kriminaliteten i USA Ifølge en nylig studie fra Symantec rammet identitetstyver 429 millioner poster i 2015, opp 23% fra året før. Og fordi selskaper ikke rapporterer fullstendig om omfanget av bruddene, kan det faktiske antall kompromitterte identiteter være høyere. Et konservativt estimat, sier Symantec, ville skyve antall eksponerte identiteter til over 500 millioner.

Nine brudd alene eksponerte mer enn 10 millioner identiteter. Men mange mindre angrep gjør aldri nyheten. Gjennomsnittlig brudd utsatt mindre enn 5 000 identiteter. Til tross for vanskeligheten ved å kvantifisere omfanget av problemet, er årsakene til disse tyverier like enkle som tilbud og etterspørsel. Aguilar har sagt at det estimerte markedet for stjålne kredittkort er større enn markedet for kokain med 29 milliarder dollar.

Fallout fra identitetstyveri kan være alvorlig. Det er kostbart å varsle klienter og flaut for å fortelle dem om brudd. Unnlatelse av å beskytte klientidentifikasjoner kan føre deg til ulovlige lover om personvern, noe som medfører straffer eller forbud. ) Ransomware

Ifølge Symantec-rapporten økte forekomsten av ransomware-angrep med 35% i 2015. I disse angrepene har hackere kommandoen en individuell datamaskin eller et nettverk og deretter kreve betaling, noen ganger i Bitcoin. I en annen type ransomware-angrep krypterer hackere individuelle filer, og krever derfor løsningen i bytte for krypteringsnøkkelen.

Spear Phishing

Spear phishing-angrep økte til 1, 305 i 2015, opp fra 814 året før, ifølge Symantec.Og finansindustrien var det ledende målet, med 35% av angrepene rettet mot finans-, forsikrings- eller eiendomsfirmaer. Dessuten blir disse typer angrep blitt tøffere, sier ekspertene. Symantec sier at en rekke grupper, inkludert statssponsorerte grupper, var aktive i spydsfiskeangrep i 2015.

Økte forventninger

Sammen med forekomsten av cyberangrep har kundenes forventninger til sikkerhet økt de siste årene. Så har forventningene til regulatorer. I en rådgivende utgave i januar 2015 advarte Nord-amerikanske Securities Administrators Association investorer at de skulle diskutere nettverkssikkerhet med sine rådgivere.

I sin tale sa Aguilar det var "skuffende" at så mange bedrifter ikke klarte å ta grunnleggende skritt for å redusere trusselen om cyberangrep. Mange utpekte ikke en sikkerhetsansvarlig eller bære nettforsikring. (For relatert lesing, se:

Opplæring av klienter om Cyber ​​Security .) Krav til samsvar

SEC vedtok en forskrift om "Systems Compliance and Integrity" i november 2014 som krever betydelige inntrengninger innen 24 timer. Forordningen omfatter børser og modellinfrastruktur. Men det har blitt opprettholdt som en modellregulering fordi den er risikobasert - oppfordrer bedrifter til å fokusere sine forebyggende ressurser på de systemene der det er mest potensial for skade - og oppfordrer engasjementet av senior lederskap på styret nivå der det er ekte ansvarlighet.

SECs håndhevingsavdeling undersøker brudd, herunder scenarier hvor investeringsrådgivere ikke klarer å beskytte konfidensielle opplysninger fra klienter. I 2015 utstedte Kommisjonens divisjon for investeringsforvaltning sikkerhetsveiledning: periodisk teste dine informasjonsteknologiske systemer, utvikle en nettbasert sikkerhetsstrategi og trene ansatte til å implementere den.

Eksperter sier at et firmas menneskelige ressurser ofte er det største sårbarheten. En nylig IBM-studie fant at innsidere var ansvarlige for et flertall av brudd på nettverksbrudd. Selv når de ikke forsettlig forstyrrer systemer, kan medarbeidere utilsiktet la døren stå åpen for tyver. (For relatert lesing, se:

SEC til rådgivere: Implementer sikkerhetsplaner for cyber .) Bortsett fra å trene ansatte på beste praksis, for eksempel hvordan du sikrer et passord og hvordan du identifiserer et phishing-svindel, bør ha skrevet retningslinjer som staver ut prosedyrer i tilfelle et cyberangrep og trinnene som er tatt for å hindre brudd. The North American Securities Administrators Association legger vekt på viktigheten av skriftlige retningslinjer.

SEC i sine nylige vurderinger viste at mange firmaer hadde slike retningslinjer, men at de ofte ikke klarte å spesifisere hvordan de ville bestemme tap av kunder som følge av et angrep. I en nylig gjennomgang fant SEC at mange firmaer ikke klarte å gjennomføre risikovurderinger av tredjepartsleverandørene, slik at de var utsatt og utsatt for angrep som utnytter forhold til eksterne leverandører.Det viktigste er å utføre due diligence for å vise regulatorer du har tatt trusler på alvor.

The Bottom Line

Cyber-forbrytelser stiger og vokser mer sofistikert i naturen. Rådgivere må ha et system på plass for å beskytte mot dem og sørge for at de overholder regelverket. (For mer, se:

Cyber ​​Crime: Tips om hvordan du unngår en katastrofe .)