新浪科技讯 北京时间4月17日早间消息,美国证券交易委员会(以下简称“SEC”)周三披露了一份路线图,让外界得以了解该机构将如何确保华尔街企业为探测和应对网络攻击作好准备。
这份4月15日发布的文档包含9页内容,里面列举了SEC审查官可能会在检查过程中向证券经纪公司和资产管理公司询问的多个问题。
例如,该文档要求企业提供一份全面列表,列举其自2013年1月以来在何时探测到恶意软件、遭受了DoS攻击或发现了网络漏洞。SEC还计划对50多家公司就网络安全相关问题展开检查。
这份文档发布前几个月,SEC投资顾问检查项目副主任简 佳可(Jane Jarcho)在一次演讲中宣布,该机构计划检查相关企业是否制定了防止网络攻击的政策。
SEC随后在3月26日举行圆桌会议,邀请专家就相关问题展开了辩论,包括上市公司、券商、资产管理公司和交易所如何防范网络威胁,以及美国政府应该在确保这类攻击如实披露方面扮演何种角色。
SEC对网络攻击的重视,正值多家大型企业遭遇数据泄密事件之际,包括塔吉特和Neiman Marcus两家零售商。
这些事件引发了一场公共政策辩论,人们希望借此明确一些问题:企业应当如何将这类问题通知客户?谁应当承担由此产生的费用?这类信息应当如何向政府和公众披露?
SEC前互联网执法部门总监、现任管理咨询公司Stroz Friedberg数字风险总经理的约翰 里德 斯塔克(John Reed Stark)表示,SEC列举的问题不仅与众不同,而且很有前瞻性。
“这份问卷披露后,SEC的这一检查项目不再那么令人意外,而且为在SEC注册的金融公司提供了罕见的准备机会。”他说。
除了询问过往的攻击事件外,SEC的文档还指出,审查官可能会搜集企业如何保护用户隐私的相关信息,包括用户通过何种认证方式访问网络账号,以及企业采取了哪些安全措施来保护PIN码。(鼎宏)