Os hackers representam um risco significativo para os consultores financeiros - não apenas no tempo ou no dinheiro, mas também em termos de danos à reputação. Os conselheiros passam uma confiança de construção profissional que pode ser corroída com um clique do mouse.

O ex-comissário da Comissão de Valores Mobiliários (SEC), Luis Aguilar, em um discurso em junho de 2015, chamou o setor financeiro do "principal alvo" para cibercriminosos internacionais. Um banco principal de U. S. teria sido atacado 30, 000 vezes em uma única semana, uma média de uma vez a cada 34 segundos. (Para mais informações, consulte: Os consultores financeiros estão se sentindo insegurança cibernética .)

Os crimes cibernéticos deverão resultar em US $ 450 bilhões em prejuízos financeiros totais neste ano. Os ataques vêm em uma variedade de sabores - do roubo de identidade de força bruta ao ransomware para técnicas sofisticadas de phishing. Ataques em grandes empresas como o eBay, o JPMorgan Chase ou o Home Depot podem fazer manchetes, mas os especialistas dizem que as empresas menores precisam estar igualmente vigilantes e não assumir que estão abaixo do radar porque não são um nome familiar.

Roubo de Identidade

O Escritório Federal de Investigação chama o roubo de identidade cibernética no crime de crescimento mais rápido nos EUA. De acordo com um estudo recente da Symantec, ladrões de identidade atingiram 429 milhões de registros em 2015, 23% do ano anterior. E porque as empresas não estão informando completamente a extensão de suas violações, o número real de identidades comprometidas pode ser maior. Uma estimativa conservadora, diz a Symantec, empurraria o número de identidades expostas para mais de 500 milhões.

Nove brechas isoladamente expuseram mais de 10 milhões de identidades. Mas muitos ataques menores nunca fazem a notícia. A violação média expôs menos de 5 000 identidades. Apesar da dificuldade em quantificar o alcance do problema, os motivos desses roubos são tão diretos como a oferta e a demanda. Aguilar disse que o mercado estimado de cartões de crédito roubados é maior do que o mercado de cocaína em US $ 29 bilhões.

As consequências do roubo de identidade podem ser graves. É dispendioso avisar os clientes e vergonha dizer-lhes sobre uma violação. A incapacidade de proteger as identidades do cliente pode impelir as leis que regem a privacidade, resultando em penalidades ou proibições. (Para leitura relacionada, veja: 7 Dicas de Segurança Cibernética para Assessores Financeiros. )

Ransomware

De acordo com o relatório da Symantec, as incidências de ataques de ransomware aumentaram 35% em 2015. Nesses ataques, hackers comemora um computador ou rede individual e depois solicita pagamento, às vezes em Bitcoin. Em outro tipo de ataque de ransomware, os hackers enxaguam arquivos individuais e, em seguida, solicitam resgate em troca da chave de criptografia.

Spear Phishing

Os ataques de phishing de Spear aumentaram para 1, 305 em 2015, acima de 814 no ano anterior, de acordo com a Symantec.E o setor financeiro foi o principal alvo, com 35% de ataques dirigidos a empresas financeiras, de seguros ou imobiliárias. Além disso, esses tipos de ataques estão se tornando mais furtivos, dizem os especialistas. A Symantec diz que uma série de grupos, incluindo grupos patrocinados pelo estado, foram ativos em ataques de phishing de lança em 2015.

Expectativas Aumentadas

Além da incidência de ataques cibernéticos, as expectativas dos clientes em relação à segurança aumentaram nos últimos anos. Então, as expectativas dos reguladores. Em um aviso emitido em janeiro de 2015, a Associação Norte-Americana de Administradores de Valores Mobiliários avisou os investidores de que deveriam discutir a segurança cibernética com seus assessores.

Em seu discurso, Aguilar disse que era "decepcionante" que tantas empresas não conseguissem tomar medidas básicas para mitigar a ameaça de ataques cibernéticos. Muitos não designaram um agente de segurança da informação ou carregavam o seguro cibernético. (Para leitura relacionada, veja: Educando clientes sobre segurança cibernética .)

Requisitos de conformidade

A SEC adotou um regulamento sobre "Conformidade e integridade de sistemas" em novembro de 2014 que exige intrusões significativas a serem relatadas dentro de 24 horas. O regulamento abrange bolsas de valores e infra-estrutura modelo. Mas foi mantido como um modelo de regulamentação na medida em que é baseado em risco - encorajando as empresas a concentrarem seus recursos preventivos nos sistemas onde há maior potencial de danos - e insta o engajamento de lideranças seniores no nível do conselho onde há real prestação de contas.

A divisão de execução da SEC investiga violações, incluindo cenários em que os consultores de investimento não protegem as informações confidenciais dos clientes. Em 2015, a Divisão de Gestão de Investimentos da Comissão emitiu orientações sobre segurança cibernética: teste periodicamente seus sistemas de tecnologia da informação, desenvolva uma estratégia de segurança cibernética e treine funcionários para implementá-lo.

Os especialistas dizem que os recursos humanos de uma empresa são muitas vezes a sua maior vulnerabilidade. Um recente estudo da IBM descobriu que os integrantes eram responsáveis ​​pela maioria das violações da segurança cibernética. Mesmo quando eles não estão interrompendo intencionalmente os sistemas, os funcionários podem inadvertidamente deixar a porta aberta para os ladrões. (Para leitura relacionada, consulte: SEC para conselheiros: Implementar planos de segurança cibernética .)

Além de capacitar os funcionários nas melhores práticas, como como proteger uma senha e como identificar uma fraude de phishing, as empresas deve ter escrito políticas que especifiquem procedimentos em caso de ataque cibernético e as medidas tomadas para evitar infracções. A North American Securities Administrators Association enfatiza a importância das políticas escritas.

A SEC em suas revisões recentes encontrou que muitas empresas tinham tais políticas, mas que muitas vezes não especificavam como determinarão as perdas de clientes resultantes de um ataque. Em uma revisão recente, a SEC encontrou que muitas empresas não realizaram avaliações de risco de seus fornecedores terceirizados, deixando-os expostos e vulneráveis ​​a ataques que exploravam relações com provedores externos.O importante é levar a cabo a diligência necessária para mostrar os reguladores que você tomou ameaças a sério.

A linha inferior

Os crimes cibernéticos estão em ascensão e estão crescendo de natureza mais sofisticada. Os conselheiros precisam ter um sistema para proteger contra eles e garantir que eles estejam de acordo com os regulamentos. (Para mais, veja: Cyber ​​Crime: Dicas sobre como evitar uma catástrofe .)