加拿大对投资交易商的监管机构已经加强了对举报网络安全漏洞的立场,现在将要求在发现后三天内强制报告此类事件。
交易商自我监管组织加拿大投资行业监管组织(IIROC)在周四宣布了有关网络安全“事件”的新要求,而加拿大银行的一位高管暗示可能需要新的立法或法规的第二天确保共享有关网络威胁的信息。
中央银行首席运营官菲利普迪尼斯(Filipe Dinis)在周三在多伦多的讲话中说:“我们需要在金融部门内部以及最终在整个经济领域进行合作,以应对这些非常现实的威胁。”他谈到要在夜间保持清醒状态,思考一种情况,即一家金融机构的数据和操作遭到破坏,攻击蔓延到外部合作伙伴。
CD Howe的报告认为,监督投资行业的自律组织已经成熟并购
渥太华新的网络安全机构负责人向黑客最喜欢的目标-银行
市场监管者关注公司如何披露诸如气候变化,网络攻击等“重大”风险的新规定
IIROC首先在2018年对网络事件的报告提出了更严格的要求,这将使自我监管机构能够在行业内共享高层细节。
为了回应随后的评论期的一些压力,监管机构说“它强调了网络安全事件可能对投资者和资本市场造成的影响和日益严重的威胁,以及IIROC收集有关这些事件信息的适当性。”
投资交易商担心IIROC如何保护通过报告网络事件获得的机密信息。还有人担心,IIROC的要求可能与隐私法规和其他监管机构制定的规则中的义务重叠。
IIROC表示,它将确保与其他经销商共享的任何网络安全信息(旨在向其他公司发出有关已知威胁和潜在风险的警报)将“在匿名和高层基础上”进行。
广义上讲,网络安全事件将包括任何未经授权访问,破坏或滥用经销商信息系统或其中存储的任何信息的行为。监管机构表示,它将为构成网络安全事件的内容创建一个“广泛而灵活的”定义,以适应一系列投资交易商的业务模型和运营。
在初次报告的30天内,投资公司必须跟进详细的调查报告,概述问题的原因和范围以及为减轻对投资者和公司的损害风险而采取的措施。
IIROC在2013年拥有自己的数据保护刷,当时监管机构的一名工作人员丢失了一个包含有50,000多家投资交易商客户个人信息的设备。该设备受到密码保护,但是未按照监管机构自己的敏感数据保护规则对数据进行加密。
IIROC大约一年前进行的一项调查显示,加拿大的投资公司已经加大了对网络攻击的准备。例如,有82%的公司每年至少进行一次网络安全培训,高于2016年的56%。绝大多数(94%)表示,他们在签订合同之前正在评估第三方的网络风险,高于2016年的70%。此外,超过一半的公司购买了网络保险,高于2016年的37%。
