Cybersicherheit ist eines der wichtigsten Probleme von Wertpapierfirmen.

Laut der Investmentfirma der Zukunft, die Anfang dieses Jahres vom CFA Institute veröffentlicht wurde, bewerteten 24% der Mitglieder des CFA Institute die Cybersicherheit als die höchste Technologiepriorität ihres Unternehmens. Diese Zahl wird voraussichtlich erst in den kommenden Jahren steigen, da die Technologie im Anlageverwaltungsprozess eine immer größere Rolle spielt.

Was können Unternehmen vor diesem Hintergrund tun, um sich und ihre Kunden vor potenziellen Datenverletzungen zu schützen?

Zur Orientierung zu diesem Thema haben wir mit dem Cybersicherheitsexperten E.J. Yerzak von Ascendant Compliance Management – ein CSS-Unternehmen. Die Empfehlungen von Yerzak, wie Angriffe verhindert und am besten auf sie reagiert werden können, lassen sich in zwei Worten zusammenfassen: Seien Sie vorbereitet.

Was folgt, ist eine leicht bearbeitete Abschrift unseres Gesprächs.

CFA-Institut: Cyber-Barbaren stehen vor den metaphorischen Toren vieler Wertpapierfirmen. Wie bereite ich mich am besten vor?

E.J. Yerzak: Hacker sind sicherlich am Tor. In vielen Fällen befinden sie sich bereits im Tor. Das sollten sich Unternehmen zu Herzen nehmen.

Der Moment, in dem ein Cyber-Vorfall erkannt wird, ist nicht der richtige Zeitpunkt, um Ihren Reaktionsplan vorzubereiten. Zeit ist von entscheidender Bedeutung, wenn Fristen für die Meldung staatlicher und internationaler Verstöße ausgelöst werden. Ich denke, die Allgemeine Datenschutzverordnung (DSGVO) der Europäischen Union sieht eine Meldefrist von 72 Stunden vor.

Angesichts der Zeit, die normalerweise benötigt wird, um genau zu bestimmen, was während eines Cyber-Vorfalls passiert ist, was möglicherweise kompromittiert wurde, auf welche Dateien oder Ordner möglicherweise zugegriffen wurde und wie der Zeitrahmen war, ist dies eine unglaublich kurze Zeit.

Hat es vor einer Woche angefangen? Vor drei Monaten? Sind die Hacker noch im System? Diese Art von Untersuchungen nimmt viel Zeit in Anspruch, um sie zu sortieren. Eine sehr kurze Frist für die Meldung von Verstößen erhöht daher die Notwendigkeit eines Plans zur Reaktion auf Vorfälle und einer angemessenen Vorbereitung im Voraus und nicht zum Zeitpunkt eines Verstoßes oder eines Cyber-Vorfalls.

Das Entwickeln und Testen eines Vorfallsreaktionsplans im Voraus kann angemessene Sicherheit und Sicherheit bieten, dass der Plan funktioniert.

Interessanterweise sagen Firmen die ganze Zeit: “Ich bin nicht gefährdet.” Es ist entweder “Ich bin eine kleine Firma. Ich bin kein Ziel, daher muss ich mich nicht so gut vorbereiten. “Oder” Ich bin eine große Firma. Ich habe gute technische Kontrollen, und die Hacker verfolgen eher die kleinen Leute ohne Sicherheit. “

Ich denke, beide Seiten berechnen ihr Risiko möglicherweise falsch. Sie haben es falsch verstanden. Die Wahrheit liegt wahrscheinlich irgendwo in der Mitte und die Wahrheit ist, dass wir alle in Gefahr sind.

Nehmen wir an, Sie investieren unabhängig von der Unternehmensgröße Zeit und Energie in die Erstellung des Krisenplans. Wie gut funktionieren diese Protokolle, wenn der eigentliche Cyber-Vorfall auftritt?

Sie haben absolut Recht zu implizieren, dass Protokolle in dem Moment, in dem eine Krise eintritt, scheinbar aus dem Fenster gehen. Stress ist hoch. Es kann eine Herausforderung sein, Leute zu finden, die richtigen Parteien zu finden und sogar eine Telefonkonferenz zu organisieren.

Dies sind wichtige Überlegungen, die im Voraus geplant werden müssen. Es ist praktisch unmöglich, jedes mögliche Szenario oder jede Art von Cybersicherheitsvorfall vorherzusagen. Bereiten Sie sich also auf die ähnlichsten Situationen vor und sorgen Sie für Flexibilität für diejenigen, die Sie vielleicht nicht erwartet haben. Der Aktionsplan sollte zumindest den größten Teil des Weges dorthin ohne große Abweichungen einschlagen.

Ein weiterer Grund ist eine gute Frage: Wie ich bereits erwähnte, ist der Stress hoch. Die Leute wollen sofort Antworten und die Leute wollen Entscheidungen, die gestern getroffen wurden. Zeit ist von entscheidender Bedeutung.

Sie möchten die Entscheidung nicht falsch treffen. Sie möchten auch nicht, dass mehrere Parteien in Ihrer Organisation dieselbe Entscheidung separat treffen oder unterschiedliche Entscheidungen treffen, da sie diese Entscheidungen separat getroffen haben.

Wenn Sie über den Verstoß kommunizieren möchten, möchten Sie nicht, dass jemand in einer Kundenbeziehungsrolle erklärt, was mit einem Kunden passiert ist, wenn die Marketingabteilung möglicherweise eine spezifische Antwortnachricht für einen Verstoß an alle Kunden erstellt.

Es gibt einen guten Grund, warum ein Vorfallreaktionsplan bei einem tatsächlichen Cyber-Vorfall funktioniert, wenn die Spannung hoch ist und es viele konkurrierende Prioritäten gibt. Beispielsweise möchte der CTO möglicherweise Systeme herunterfahren, um zu verhindern, dass Hacker zu anderen Systemen springen. Gleichzeitig möchte der CEO möglicherweise die Systeme betriebsbereit halten, um Ausfallzeiten für Kunden zu vermeiden. Die Reaktionszeit ist entscheidend, wenn mehrere Stakeholder um Entscheidungen bitten und sich ein Unternehmen mit geschäftlichen und regulatorischen Auswirkungen befasst.

Mitten in dieser Krise möchten Sie keine kritischen Momente damit verschwenden, nach der Telefonnummer Ihres Rechtsanwalts oder dem Kontaktnamen Ihres IT-Anbieters zu suchen. Ein dokumentierter Plan nimmt einen Teil dieses Stresses vom Tisch.

Es enthält mindestens eine Reihe von Schritten, die jeweils zu befolgen sind. Bieten Sie eine gewisse Flexibilität bei Ihrer Reaktion, um besonderen Umständen Rechnung zu tragen. Auch hier können Sie sich nicht auf jedes Szenario vorbereiten. Planen Sie daher die wahrscheinlichsten Informationen und dokumentieren Sie alle relevanten Informationen, z. B. Kontaktinformationen, an einem Ort, um die Referenz zu vereinfachen.

Wer sollte das Krisenreaktionsteam eines Unternehmens zusammenstellen?

Viele Firmen haben mit solchen Fragen zu kämpfen. Sollte es ein oder zwei Personen sein? Sollte es eine große Ausschussstruktur sein?

Die Antwort unterscheidet sich von Unternehmen zu Unternehmen aufgrund ihrer Größe, Infrastruktur, Vereinbarungen und Lieferantenbeziehungen. Wenn eine Wertpapierfirma über dedizierte IT-Mitarbeiter verfügt, ändert sich die Situation im Vergleich zu einer, die den größten Teil ihrer IT auslagert.

Zumindest die Leute, die Sie im Incident-Response-Team oder im Crisis-Response-Team haben möchten, werden wichtige Entscheidungsträger sein. Sie sollten Zugang zu den notwendigen Informationen haben, um diese Entscheidungen zu treffen, und befugt sein, sie zu treffen. Es wäre Zeit- und Ressourcenverschwendung, jemanden im Incident-Response-Team zu haben, der keine Autorität besitzt.

Es ist in Ordnung, diese Parteien nach Bedarf später im Prozess für ein bestimmtes Fachwissen oder als Antwort auf eine bestimmte Frage einzuschleifen. Der Kern des Incident-Response-Teams sollten jedoch die Entscheidungsträger sein. Zumindest möchten Sie den CEO, höchstwahrscheinlich den CCO [chief compliance officer], jemand in Betrieb, wie der COO [chief operating officer]und jemand in einer Technologierolle, egal ob es sich um den Chief Technology Officer (CTO) oder den Chief Systems Officer (CSO) handelt. Sie möchten auch, dass C-Suite-Führungskräfte im Team den Prozess starten. Jemand muss autorisiert sein, den Prozess der Reaktion auf Vorfälle aufzurufen und es den Teammitgliedern zu ermöglichen, die Nahrungskette weiter zu durchlaufen und bei Bedarf andere Stakeholder einzubeziehen.

Ein kleinerer Vorfall – beispielsweise ein Cyberangriff auf die Website des Unternehmens – kann in erster Linie vom CTO behandelt werden, der sich mit dem IT-Anbieter oder dem Hosting-Anbieter in Verbindung setzt und diese Website wieder in Betrieb nimmt.

Ransomware ist anders und Sie möchten, dass alle diese Parteien Entscheidungen treffen, die sich auf das gesamte Unternehmen auswirken können.

Der Schlüssel zu einem erfolgreichen Incident-Response-Team ist, dass es formbar ist. Einer der Gründe, warum Unternehmen mit der Zusammensetzung zu kämpfen haben, ist der Wunsch, jeden Vorfallstyp zu antizipieren. Es wird sehr schwierig, im Voraus zu bestimmen, wer in jeder möglichen Situation eine Entscheidung treffen muss.

Stattdessen ist es vollkommen in Ordnung, Ihren Plan für die Reaktion auf Vorfälle so zu gestalten, dass die Möglichkeit berücksichtigt wird, bei Bedarf zusätzliche Ressourcen einzuschleifen. Möglicherweise definiert der Vorfallreaktionsplan, wer diese Parteien sind, die nach Bedarf hinzugezogen werden können, sei es durch die Benennung bestimmter Personen nach Name, Rolle, Funktion, Titel oder sogar durch Gruppe oder Verweis auf andere Ausschüsse.

Ein Beispiel, das ich in einem Vorfallreaktionsplan häufig sehe, ist, dass Sie über das Kernteam für die Reaktion auf Vorfälle verfügen und dann bei Bedarf auf den General Counsel des Unternehmens oder einen externen Rechtsberater sowie auf den Systemadministrator des Unternehmens oder bestimmte IT-Anbieter verweisen Unterstützung bei der Untersuchung des Verstoßes. Am Anfang kann klar sein, was die Ursache und Reaktion eines Vorfalls ist. Es kann Fälle geben, in denen Sie diese Experten einschalten müssen, um Anleitungen für die nächsten Schritte zu erhalten.

Welche externen Parteien neben den üblichen Anbietern des Unternehmens sollten einbezogen werden?

Lassen Sie sich von einem spezialisierten Rechtsberater für die Aufbewahrung mit besonderem Fachwissen in Bezug auf Datenschutzverletzungen und die Reaktion auf Verstöße beraten. Ihr Anwalt ist möglicherweise der erste Anruf, den Sie tätigen, um weitere Kommunikation und Diskussionen unter angemessenen Privilegien zu schützen.

Außerdem empfehle ich, eine forensische Ermittlungsfirma zur Verfügung zu haben, die Sie bei der Prüfung der Dateien in Ihrem Netzwerk unterstützt und zusammensetzt, was passiert ist und auf welche Dateien zugegriffen wurde.

Häufig bevorzugen diese Anbietertypen, dass Sie sie im Voraus behalten, damit sie Zeit haben, sich mit Ihren Systemen und Ihrem Netzwerk vertraut zu machen – anstatt sich an sie zu wenden, wenn Sie sich in der Mitte des Brandes befinden einer Verletzung. Sie werden mit Sicherheit eine Prämie verlangen, um alles fallen zu lassen, zu Ihrer Firma zu fliegen und sich Ihre Systeme anzusehen. Wenn Sie diese Diskussionen im Voraus führen, können Sie Geld sparen.

Möglicherweise möchten Sie eine PR-Firma zur Hand haben oder zumindest daran denken, öffentlich zugängliche Botschaften zu verfassen, sei es an Kunden, Aufsichtsbehörden oder Aktionäre. Abhängig von der Art des Vorfalls und dem Geschäftsmodell des Unternehmens sind diese öffentlichen Mitteilungen für die Richtigkeit von entscheidender Bedeutung und können den Unterschied zwischen dem Verbleib der Investmentfirma oder dem Verlust vieler Kunden ausmachen.

Halten Sie die Kontaktinformationen Ihres lokalen und föderalen Strafverfolgungspersonals sowie der Kontaktinformationen von Abteilungen und Regionen bereit, damit Sie bei einem größeren Vorfall oder einem groß angelegten Hacking-Versuch beispielsweise die entsprechenden Strafverfolgungsbehörden einschalten können.

Wenn Sie einen Hacking-Versuch in Ihrer Firma sehen, haben andere Firmen wahrscheinlich bereits einen ähnlichen Versuch gesehen. Das FBI ist sich wahrscheinlich bereits bewusst und hat möglicherweise einige Empfehlungen und Lösungen.

Wie priorisieren Sie Entscheidungen im Moment des Nebel des Krieges?

Der größte Stress während eines Cybersicherheitsvorfalls entsteht durch konkurrierende Prioritäten sowohl innerhalb des Unternehmens als auch mit den allgemeinen Stakeholdern des Unternehmens. Wie ich bereits erwähnt habe, haben Sie möglicherweise den CEO, der die Systeme am Laufen halten möchte, und einen CTO, der sagt: „Nein, wir müssen alles herunterfahren, um eine weitere Verbreitung dieser Malware oder dieser Ransomware zu verhindern, um weitere Daten zu verhindern kompromittiert werden. “

Wenn es um die Priorisierung geht, empfehle ich dem Unternehmen, alle geschäftlichen und regulatorischen Risiken zu berücksichtigen. Gibt es finanzielle Sanktionen, wenn die Antwort über einen bestimmten Zeitraum hinausgeht?

Dieses allgemeine Compliance-Risiko muss in aller Munde sein. Gibt es zum Beispiel neben der SEC gesetzliche Anforderungen? Würde das FBI wollen, dass Sie bestimmte Schritte unternehmen? Würde Ihr Rechtsberater? Wenn Ihr Unternehmen über eine Cyberversicherung verfügt, würde der Spediteur Sie auffordern, bestimmte Schritte zu unternehmen, oder Ihre Deckung aufheben? Dies sind einige Beispiele für konkurrierende Prioritäten und Entscheidungen, die getroffen werden müssen.

Wenn ich ein oder zwei Aktionen priorisieren möchte, sollte Ihr erster Anruf bei einem Rechtsberater erfolgen. Ihr zweiter an Ihren Cyber-Versicherungsträger. Geben Sie ihnen zumindest die Lage des Landes, die Informationen, die Sie zu diesem Zeitpunkt kennen.

Versuchen Sie, so viele Informationen wie möglich so schnell wie möglich zu erkennen, und verstehen Sie, dass Sie sich noch nicht unbedingt in einer forensischen Ermittlungsfirma eingeschleift haben, um den Vorfall zu untersuchen. Zumindest können Sie Ihrem Anwalt und Spediteur mitteilen, wie der Verstoß entdeckt wurde, welche Informationen Ihrer Meinung nach kompromittiert wurden und wie Sie darauf aufmerksam wurden. Es ist wichtig, das Gespräch zu beginnen, auch wenn Sie nicht alle Fakten haben.

Können Sie diese Cyberangriffsreaktionen im Krieg spielen?

Es ist eine Sache, einen dokumentierten Plan auf Papier zu haben. Bis Sie es mit Kriegsspielen oder Tischübungen auf die Probe stellen, werden Sie möglicherweise nicht erkennen, dass einige unvorhergesehene Situationen auftreten können.

War-Gaming Ihr Vorfallreaktionsplan kann Wunder bewirken, um zu beurteilen, wie vernünftig er ist. Auch hier können Sie nicht alles unter der Sonne vorhersehen, aber haben Sie alle wahrscheinlichen Szenarien vorweggenommen?

Wenn Sie den Vorfallreaktionsplan auf die Probe stellen. . . Jemand am Tisch könnte sagen: „Hey, was ist mit diesem System hier? Unsere Serie von fünf Schritten hier hat nicht erwartet, dass wir Backups von System A abrufen müssen, und dass System A nicht mit System B kommunizieren kann, es sei denn, wir haben die Schritte eins, zwei und drei hier ausgeführt. ” Solche Dinge sind wichtig, um im Voraus zu versuchen, sie durchzuarbeiten.

Eine einfache Möglichkeit, einen Plan zur Reaktion auf Vorfälle zu testen, besteht darin, einen Phishing-Test für Mitarbeiter durchzuführen. Diese Tests können Ihre Abwehrkräfte und das Sicherheitsbewusstsein Ihrer Mitarbeiter stärken und verhindern, dass diese Probleme überhaupt erst auftreten. Phishing-Tests können Ihnen auch dabei helfen, eine wahrscheinliche Situation zu überwinden, in der Ransomware in Ihr Netzwerk gelangt. Einer der ersten zu berücksichtigenden Schritte: Ziehen Sie den Stecker an Ihren Systemen? Arbeiten Sie in der IT-Abteilung, um zu untersuchen, was in Echtzeit passiert? Ab wann kommunizieren Sie mit Kunden?

Sie müssen ab und zu einen Schraubenschlüssel in die Gleichung werfen. Angenommen, ein Kunde ruft an und fragt, warum er nicht auf sein Online-Konto zugreifen kann, während Sie gerade Ihren Antwortplan durcharbeiten. Jetzt haben Sie einen Kunden am Telefon, der nach einer Antwort fragt. Das Marketing hat die öffentliche Reaktion noch nicht vorbereitet. Was machst du in dieser Situation? Diese Fragen sind wichtig, um im Voraus ein Brainstorming durchzuführen.

Eine großartige Möglichkeit, den Vorfallreaktionsplan im Krieg zu spielen, besteht darin, verschiedene Parteien, Abteilungen und Mitarbeiter innerhalb des Unternehmens einzuschleifen, damit jeder einen Vorgeschmack haben kann.

Ich sage den Unternehmen ständig, dass die Reaktion auf Vorfälle in der Verantwortung aller liegt. Es ist nicht nur eine IT- oder eine Führungssituation. Jeder einzelne Mitarbeiter ist in der Lage, einen Verstoß potenziell zu erkennen und zu stoppen.

Haben Sie in der jüngsten Flut hochkarätiger Cyberangriffe lehrreiche Momente gesehen?

Eine Reihe von Cyberangriffen in jüngster Zeit hat die Notwendigkeit einer besseren Sorgfaltspflicht für Anbieter unterstrichen. Wir haben bei Cyberangriffen bei Target und anderen gesehen, dass die Interaktionen zwischen Unternehmen und ihren Drittanbietern und -anbietern unerwartete Auswirkungen haben können.

Wenn jemand die Systeme des Anbieters kompromittiert, hat dies Auswirkungen auf andere Gegenparteien auf der ganzen Linie? Würden Drittanbieter einer Wertpapierfirma ein Risiko darstellen, wenn sie kompromittiert, gehackt oder als Sprungbrett für Angriffe auf andere Parteien verwendet werden?

Dies führt wiederum zu dem früheren Punkt zurück, dass kleine Unternehmen manchmal das Gefühl haben, keine Ziele zu sein. Vielleicht haben sie nicht so viel Geld wie die großen Fische. Sie denken, die Hacker werden den großen Jungs nachjagen.

Manchmal werden die kleinen Firmen gehackt, um ihre Systeme für Angriffe gegen andere Firmen zu verwenden, um zu maskieren, woher der Verkehr kommt, oder um zu versuchen, unentdeckt zu bleiben. Öffentliche Verstöße haben gezeigt, dass Anbieter ein Risiko darstellen.

Sie zeigen auch, dass es unglaublich wichtig ist, den PR-Plan richtig zu machen. Die falsche Verbreitung der Botschaft kann schwerwiegende Folgen für die weitere Rentabilität des Unternehmens haben. Einige Firmen haben es unglaublich richtig gemacht, und einige Firmen sind gescheitert.

Was ist die beste Vorgehensweise für die Kommunikation nach dem Vorfall?

Holen Sie sich alle auf die gleiche Seite. Koordinieren Sie alle Nachrichten intern, bevor Sie eine öffentliche Erklärung abgeben.

Seien Sie sehr vorsichtig bei der Beschreibung des Vorfalls. Verwenden Sie das Wort “Verstoß” nur, wenn tatsächlich ein Verstoß vorliegt. Verschiedene staatliche Vorschriften definieren, was einen meldepflichtigen Verstoß darstellt. Die Feststellung, dass etwas ein Verstoß ist, ist eine rechtliche Entscheidung. Firmen sollten es nicht leicht nehmen. Seien Sie bei Nachrichten und Kommunikationen sehr vorsichtig, wie Sie die Art des Geschehens gestalten.

Oft beschreiben Unternehmen Dinge als einen Vorfall, ein Ereignis oder eine Aktivität, die entdeckt wurde. Sobald Sie das Wort Verstoß verwenden, gibt es Auswirkungen auf die Berichterstattung.

Gibt es so etwas wie eine gute Cyberkrise?

Keine Krise ist von einem festen Standpunkt aus gut. Lange Strecken ohne Cyberangriffe können jedoch zu Selbstzufriedenheit führen. Es ist gefährlich, Ihre Wache im Stich zu lassen, wenn die Bedrohungen tatsächlich zunehmen und Hacker immer ausgefeilter werden.

Es ist nur eine Frage der Zeit, bis Ihre Wertpapierfirma das Ziel ist.

Irgendwelche Abschiedsworte der Weisheit?

Verschieben Sie nicht die Entwicklung Ihres Notfallplans. Möglicherweise befinden sich die Hacker bereits in Ihrem Netzwerk. Je länger Sie warten, desto wahrscheinlicher ist es, dass Sie nicht vorbereitet sind.

Wenn Ihnen dieser Beitrag gefallen hat, vergessen Sie nicht, den unternehmungslustigen Investor zu abonnieren.

Alle Beiträge sind die Meinung des Autors. Als solche sollten sie weder als Anlageberatung ausgelegt werden, noch spiegeln die geäußerten Meinungen notwendigerweise die Ansichten des CFA-Instituts oder des Arbeitgebers des Autors wider.

Bildnachweis: © Getty Images / ZU_09

Paul Kovarsky, CFA

Paul Kovarsky, CFA, ist Direktor für institutionelle Partnerschaften am CFA-Institut.