4月15日,美国证券交易委员会(SEC)正式向华尔街的机构发布通告,通告表示SEC下属的合规检查办公室(OCIE)将对超过50家注册的债市券商机构的网络安全保护制度和措施进行质询和检查。
据可靠内部人士介绍,“目前检查工作已经展开,但是具体检查项目和被检查的机构名单还不能公开。”SEC的通告内列举了28个问题作为检查项目的样本,涵盖了金融公司网络安全的各个方面。
网络安全事故
网络安全对于美国的金融机构已经不是“狼来了”的警告,而是亡羊补牢的紧急措施。去年12月11日,在圣诞节消费旺季,反网络诈骗公司Easy Solutions发现在黑客网站上挂牌出售的借记卡/信用卡账号信息在一周内出现了超过20倍的增长。
一周以后美国大型连锁商Target发表声明承认公司的内部系统遭到了黑客攻击,在去年11月27日~12月15日节日消费期,黑客利用安全漏洞窃取了大量用户数据。据估计有4000万~7000万客户的信息被盗取。
在SEC正式通告进行网络安全检查之前的3月26日,SEC举行了一次网络安全圆桌会议,与金融机构、网络安全专家、政府官员、法律专家等商讨网络安全问题和挑战。SEC委员路易斯·安圭拉(Luis A. Aguilar)在圆桌会议代表SEC发言时表示,“最近几个月,网络安全已经成为美国企业、监管部门和执法部门的首要担心事项。去年12月Target的信息泄露事故无论从影响的广度还是可能造成损失的严重程度都是网络安全威胁里最为显著的例子。”
安全隐患严重
应邀参加SEC网络安全圆桌会议的布鲁克林法学院教授卡米尔(Roberta Karmel)在接受《第一财经日报》记者采访时表示,“任何行业都面临网络安全问题的挑战。金融行业面临的挑战更加严峻。如果个人信息泄露,可能造成机构的倒下,从而引发连锁反应,最后变成国家安全问题。”
据了解,那些曾在去年11月27日~12月15日节日消费期,于Target门店刷卡消费的信用卡记录都有可能已经被盗。这些被盗的信用卡账号信息连同一起在黑市出售的信用卡有效期、三位数安全码和该卡拥有者的姓名可以使购买者制造出与真卡完全相同的复制卡,冒充受害人进行消费。如果去网店消费,连复制卡都不需要,可以直接消费。
对于可能出现冒用信用卡消费的问题,Target在声明中“安慰”客户称,“客户不必为冒用现象造成的损失担心,银行和Target会承担损失。” 根据美国法律,银行有义务核实信用卡交易的真实性。客户即使没有挂失信用卡也不必为盗用信用卡出现的消费埋单。客户只需通知银行,自己没有购买某些账单上出现的消费,银行必须先支付这些开支。除非银行通过调查能找到足够的证据证明客户本人的确是消费过这些项目,否则银行就必须承担相应的损失。
所以,Target信息泄露消息一传出,所有的银行都主动联系客户询问是否曾在Target购物,鼓励客户换领一张新的信用卡,以避免日后被盗用出现的损失。
如果消费者通过网站购买,其家庭地址、电话号码等信息也可能流向黑市,为犯罪分子盗窃作案提供方便。Target在事后为所有客户免费提供为其一年的信用信息监视报告作为补偿。通过信用监视报告,消费者可以事后看到是否有人冒充自己申请新的信用卡。
提高安全措施
“公司自己检查网络安全目前来看还远远不够。我们有很多的监管部门,需要监管部门协同起来,一起保障网络安全。”卡米尔说。
在最后进行的国会质询中,Target的首席财务官(CFO)慕里根(John Mulligan)还原了数据泄露事件。根据公司事后调查,黑客先不费吹灰之力地攻陷了Target的第三方供货商Fazio Mechanical Services极其简陋的网络密码系统。随后,黑客利用Target对第三方供货商开放的内部网接近了储存敏感信息的核心系统。最终,黑客突破了网络防护,成功下载了信用卡信息。而黑客得以逍遥地进出Target数据库长达2周之久且不被发现的原因,据Target调查发现,是因为其技术部门没有进行调查,忽视了反入侵软件在此期间发出大量可能有黑客入侵的警告。
根据SEC列出的检查项目案例,不难看出SEC提出监管的28个问题涉及从底层物理结构的设计,服务器存放到关联第三方服务提供商之间的安全隔断;从公司内部网络安全等级间的隔断到对关联第三方服务提供商网络安全水平的评估和监管;从公司内部人员管理条例到安全软件的正确使用等各个方面。而且都是针对Target案例里存在问题的地方,要求公司吸取教训采取措施防止类似的问题重演。