Hackers vormen een aanzienlijk risico voor financiële adviseurs - niet alleen in tijd of geld, maar ook in termen van reputatieschade. Adviseurs besteden een professionele levensduur aan het opbouwen van vertrouwen dat met een muisklik kan worden geërodeerd.

Voormalig Securities and Exchange Commission (SEC) commissaris Luis Aguilar, noemde in een toespraak in juni 2015 de financiële sector het "primaire doelwit" voor internationale cybercriminelen. Eén grote Amerikaanse bank werd naar verluidt 30.000 keer in één week aangevallen, gemiddeld één keer per 34 seconden. (Zie voor meer informatie: Financieel adviseurs voelen zich cyber-onveilig .)

Cybercriminaliteit zal naar verwachting dit jaar leiden tot $ 450 miljard aan totale financiële verliezen. Aanvallen zijn er in verschillende smaken - van identiteitsdiefstal tot diefstal tot ransomware tot geavanceerde spear-phishing-technieken. Aanvallen op grote bedrijven zoals eBay, JPMorgan Chase of Home Depot kunnen de krantenkoppen halen, maar experts zeggen dat kleinere bedrijven even waakzaam moeten zijn en niet moeten aannemen dat ze onder de radar zitten omdat ze geen begrip zijn.

Identiteitsdiefstal

Het Federale Bureau of Investigation noemt cyberidentiteitsdiefstal de snelst groeiende misdaad in de VS Volgens een recente studie van Symantec troffen identiteitsdieven 429 miljoen records in 2015, een stijging van 23% van het jaar daarvoor. En omdat bedrijven de omvang van hun inbreuken niet volledig rapporteren, kan het werkelijke aantal aangetaste identiteiten hoger zijn. Een voorzichtige schatting, volgens Symantec, zou het aantal daadwerkelijk blootgestelde identiteiten naar meer dan 500 miljoen duwen.

Negen overtredingen hebben meer dan 10 miljoen identiteiten blootgelegd. Maar veel kleinere aanvallen maken nooit het nieuws. De gemiddelde inbreuk bracht minder dan 5.000 identiteiten aan het licht. Ondanks de moeilijkheid om de omvang van het probleem te kwantificeren, zijn de redenen voor deze diefstallen net zo eenvoudig als vraag en aanbod. Aguilar heeft gezegd dat de geschatte markt voor gestolen creditcards groter is dan de markt voor cocaïne met $ 29 miljard.

De gevolgen van identiteitsdiefstal kunnen ernstig zijn. Het is duur om klanten op de hoogte te stellen en beschamend om hen over een schending te vertellen. Als de identiteit van de klant niet wordt beschermd, kan dit leiden tot schending van de privacywetgeving, wat resulteert in boetes of verboden. (Voor gerelateerde informatie, zie: 7 Cybersecurity-tips voor financieel adviseurs. )

Ransomware

Volgens het Symantec-rapport steeg het aantal aanvallen van ransomware met 35% in 2015. Bij deze aanvallen namen hackers het commando over een individuele computer of netwerk en vervolgens betaling eisen, soms in Bitcoin. Bij een ander type ransomwareaanval versleutelen hackers afzonderlijke bestanden en vragen vervolgens losgeld in ruil voor de coderingssleutel.

Spear Phishing

Spear-phishing-aanvallen zijn in 2015 gestegen tot 1, 305, tegen 814 een jaar eerder, volgens Symantec.En de financiële sector was het belangrijkste doelwit, met 35% van de aanvallen gericht tegen financiële, verzekerings- of vastgoedbedrijven. Bovendien worden dit soort aanvallen steeds heimelijker, zeggen experts. Symantec zegt dat een aantal groepen, waaronder door de staat gesponsorde groepen, actief waren in spear phishing-aanvallen in 2015.

Verhoogde verwachtingen

Naast de frequentie van cyberaanvallen zijn de verwachtingen van klanten ten aanzien van beveiliging de afgelopen jaren toegenomen. Dus hebben de verwachtingen van regelgevers. In een advies uitgebracht in januari 2015 waarschuwde de North American Securities Administrators Association beleggers dat zij cyberveiligheid met hun adviseurs zouden bespreken.

In zijn toespraak zei Aguilar dat het "teleurstellend" was dat zoveel bedrijven geen basisstappen namen om de dreiging van cyberaanvallen te beperken. Velen noemden geen functionaris voor informatiebeveiliging of een cyberverzekering. (Zie voor gerelateerde informatie: Klanten informeren over cyberbeveiliging .)

Nalevingsvereisten

De SEC heeft in november 2014 een verordening aangenomen over "Compliance en integriteit van systemen" waarvoor belangrijke inbeslagnames moeten worden gemeld binnen 24 uur. De verordening heeft betrekking op effectenbeurzen en modelinfrastructuur. Maar het is opgehouden als een modelverordening in die zin dat het gebaseerd is op risico's - bedrijven aanmoedigt om hun preventieve middelen te richten op de systemen met het grootste potentieel voor schade - en dringt er bij de leiding van senior leiderschap op bestuursniveau aan toe waar er echte verantwoording.

De handhavingsafdeling van de SEC onderzoekt inbreuken, waaronder scenario's waarin beleggingsadviseurs de vertrouwelijke informatie van klanten niet beschermen. In 2015 heeft de Afdeling voor vermogensbeheer van de Commissie cyberveiligheidsadvies uitgebracht: test periodiek uw informatietechnologiesystemen, ontwikkel een cyberbeveiligingsstrategie en train werknemers om deze toe te passen.

Experts zeggen dat de human resources van een bedrijf vaak de grootste kwetsbaarheid zijn. Uit een recente IBM-studie bleek dat insiders verantwoordelijk waren voor de meeste cyberveiligheidsinbreuken. Zelfs wanneer ze niet opzettelijk systemen verstoren, kunnen werknemers onbedoeld de deur openlaten voor dieven. (Zie voor verwante literatuur: SEC voor adviseurs: Implementeer cyberbeveiligingsplannen .)

Naast het trainen van medewerkers op beste praktijken, zoals het beveiligen van een wachtwoord en het identificeren van phishing-scams, bedrijven moet geschreven beleid hebben dat procedures beschrijft in het geval van een cyberaanval en de maatregelen die genomen zijn om inbreuken te voorkomen. De North American Securities Administrators Association benadrukt het belang van schriftelijk beleid.

De SEC heeft in zijn recente beoordelingen vastgesteld dat veel bedrijven een dergelijk beleid hadden, maar dat zij vaak niet specificeerden hoe zij de verliezen van klanten als gevolg van een aanval zouden bepalen. In een recente beoordeling constateerde de SEC dat veel bedrijven geen risicobeoordeling van hun externe leveranciers uitvoerden, waardoor ze blootgesteld bleven en kwetsbaar waren voor aanvallen die relaties met externe leveranciers uitbuiten.Het belangrijkste is om de due diligence uit te voeren om toezichthouders te tonen dat u bedreigingen serieus hebt genomen.

De bottom line

Cybercriminelen nemen toe en worden steeds geavanceerder. Adviseurs moeten een systeem hebben om zich tegen hen te beschermen en ervoor te zorgen dat ze zich aan de voorschriften houden. (Zie voor meer informatie: Cybercrime: tips voor het vermijden van een catastrofe .)