德勤：網絡安全和持續的環境威脅-共同基金董事的職責（2022）（16頁）.pdf

1、共同基金董事論壇 網絡安全和持續的環境威脅共同基金董事的職責2022年4月 共同基金董事論壇|網絡安全和不斷變化的環境威脅引言 1資產管理行業為何成為攻擊目標？1董事會的網絡安全監督職責 2投資顧問如何制定可持續的網絡安全計劃？5網絡安全新興領域 10總結 12目錄1共同基金董事論壇|網絡安全和不斷變化的環境威脅引言共同基金董事必須采取行動應對網絡犯罪數量和復雜程度不斷上升的局面。此外，不斷變化的監管環境加劇了網絡安全監督方面的挑戰。在這種情況下，基金公司必須盡力保護業務免受網絡攻擊帶來的財務、品牌和監管影響。網絡威脅可能會在以下方面對基金公司、投資顧問及其股東產生影響：財務：一起網絡事件對組

2、織造成的平均損失超過100萬美元，1其中包括收入損失、知識產權損失、罰款等。品牌：65%受數據泄露影響的客戶會對違規組織喪失信任，而33%的客戶會與違規組織中斷合作。2 監管：監管機構正在加大執法力度，重點關注個人信息管理不當的問題。例如，對違反 通用數據保護條例3 的行為，罰款可能高達年收入的4%。因此，實施有效的網絡安全監督和治理計劃對于管理網絡風險和環境威脅至關重要。共同基金面臨的威脅日益增加隨著共同基金愈發依賴技術來開展運營，其所面臨的網絡威脅急劇增加。例如，使用數字應用程序的銷售渠道可能會遭受更多的分布式拒絕服務攻擊和客戶數據竊取事件。勒索軟件和數據竊取風險（包括客戶數據和知識產權）

3、在各類機構中普遍存在。這些威脅涉及以下方面：前臺運營（包括投資策略、特定交易算法、智能投顧和投資組合管理）；中臺運營（包括合規報告、支付與結算和風險模型）；后臺運營（包括基金會計、報告、人力資源、財務、營銷）。欺詐是另一種重大網絡風險，可能由外部人員或惡意內部人員引發。例如，結算和財務系統以及財務部門使用的數據傳輸協議（包括SWIFT和FIX系統）可能遭到不當或不受監控的訪問。在未制定相關控制措施的情況下，增加機器人流程自動化（RPA）、人工智能（AI）和機器學習（ML）技術的使用可能會進一步暴露公司的網絡漏洞。此外，將業務外包給第三方、與數字化轉型工作相關的云服務提供商以及新冠疫情催生的遠程

4、工作模式也將擴大惡意行為者的攻擊面。資產管理行業為何成為攻擊目標？共同基金的結構提高了網絡安全監督的復雜性?；鸬闹饕毮芎瓦\營通常由第三方服務提供商負責，包括基金投資顧問和二級顧問、托管人、代銷商、行政服務機構、過戶代理人、會計師和帳戶管理人。這些服務提供商都可能持有對網絡犯罪分子具有吸引力的關鍵數據并且面臨網絡攻擊的風險，從而在財務、品牌、聲譽和監管等方面對投資顧問、基金公司及其股東造成巨大損失?；鸸竞屯顿Y顧問應當持續評估其網絡風險敞口并且建立識別、檢測、應對網絡事件以及恢復業務流程和基礎設施的能力（即制定正式的網絡安全計劃并嚴格實施以應對不斷增加的網絡風險）。2共同基金董事論壇|網絡

5、安全和不斷變化的環境威脅董事會的網絡安全監督職責基金董事不負責制定或監督網絡安全計劃，而是負責監督管理層和投資顧問開展的相關工作。盡管如此，董事會仍應保持警惕并就網絡安全計劃提出關鍵問題?；鸲拢ǘ禄蚨聲┛赡馨l現，從風險監督的角度審視網絡安全將會有所助益。董事需要了解和監督基金管理人員和投資顧問如何管理風險，包括網絡安全計劃、全面風險管理和對基金服務提供商的監督。全面風險監督框架的原則可以為董事會履行網絡安全監督職責提供指導?；鸲卤仨氁罁莘ㄒ幎男新氊?，包括風險監督職責，以及其作為基金受托人的職責。作為受托人，董事對基金公司負有兩項基本義務，即“勤勉義務”和“忠實義務”：勤勉義務

6、要求董事應根據其已掌握的專業知識及在擔任董事期間獲取的專業知識，謹慎行事。根據州法，董事通?？梢院侠砬笾鷮＜?，包括管理層、基金投資顧問、律師、會計師等。忠實義務通常是指董事應當保護基金的最大利益，并且不得將個人或第三方利益置于基金利益之上。忠實義務還包括誠信義務。法院通常根據“商業判斷規則”評估針對董事的指控。在下列情況下，董事可以免于為其出于誠信作出的商業決策承擔責任：1.董事與商業決策主體不存在利益關系（即不存在個人利益沖突）；2.董事依據充分信息作出商業決策；3.董事合理認為商業決策符合公司的最佳利益。美國特拉華州大法官法院（Delaware Court of Chancery）的Car

7、emark案件判決被廣泛引用為理解商業判斷規則的基準。4 該判決強調，董事可以建立并定期監測能夠響應一般或特定監督議題的報告或信息流動機制，以此證明他們符合商業判斷規則的標準。根據此框架，要求董事承擔責任的案件通常聲稱董事會沒有收到足夠的信息來監督風險或者有意忽視向其報告的“危險信號”。此框架在2018年被應用于某酒店公司因出現重大網絡漏洞而面臨的訴訟中。法院指出，雖然“公司因不遵守網絡安全保障措施而遭受的損害促使董事確保公司建立適當的監督系統”，但是這些風險“并未降低原告在向Caremark提出索賠時必須達到的高門檻”5（重點補充）。在認定董事會的行為符合商業判斷規則時，法院指出董事會進行了

8、定期報告（包括在年度風險清單中討論網絡安全風險）并且了解外部顧問和內部人員都在致力管理網絡安全風險，同時審查了董事會收到的與網絡事件內部控制措施和應對計劃相關的信息。3共同基金董事論壇|網絡安全和不斷變化的環境威脅監管指引監管機構正在加強審查基金公司為保護其組織和客戶免受網絡攻擊而采取的措施。過去十年，美國證券交易委員會（SEC）和各州金融監管機構高度關注網絡安全問題，美國政府還于近期發布行政命令和國家安全指令以應對日益嚴重的網絡攻擊。（本文重點關注SEC（共同基金的主要監管機構）的相關要求，但是某些公司可能需要考慮相關的非美國監管指引）。SEC及其工作人員針對基金和顧問的網絡安全監督工作提出

9、相關要求所依據的監管指引包括：投資管理部指導意見（2015年更新），可以為董事會評估基金網絡安全提供重要背景信息；6 多個監管檢查部門針對網絡安全問題出具風險預警和審查意見；7 企業財務部針對信息披露和內幕交易的指導意見；8 以及 針對基金公司和顧問的網絡安全風險管理規則（尚未通過），我們總結如下。9SEC擬議網絡安全風險管理規則（第38a-2條規則）2022年2月，SEC針對投資顧問（投資顧問法 擬議的第206(4)-9條規則）和基金公司（投資公司法 擬議的第38a-2條規則）提出了詳細的網絡安全風險管理規則。10 第38a-2條規則的核心是，基金公司必須針對網絡安全問題制定書面風險管理計劃

10、。當然，大多數基金公司已經制定了網絡安全政策和程序。這些政策和程序可以反映SEC工作人員的現行指導意見、州法要求（許多州已經要求制定“書面信息安全計劃”，有時稱為WISP）以及SEC S-P條例或S-ID條例下的信息保護和隱私規則?；鸸具€考慮將網絡安全防范納入其根據第38a-1條規則（合規計劃規則）制定的整體合規計劃。無論SEC是否通過網絡安全風險管理規則，基金公司都需要維護這些政策和程序。擬議規則可能提出以下網絡安全防范要求：1.采用與基金公司網絡安全風險狀況相適應的政策和程序，并任命一名或多名網絡安全風險管理員來執行這些政策和程序。2.開展風險評估，包括評估與某些服務提供商相關的風險、

11、監督此類服務提供商以及與此類服務提供商簽訂適當的書面合同。3.采取控制措施，最大限度降低與用戶相關的風險并防止未經授權訪問基金管理信息系統及其中的基金信息。4.監控基金管理信息系統并保護基金信息免遭未經授權的訪問或使用，包括檢測、減輕和補救網絡安全威脅和漏洞。5.制定網絡安全事件應對和恢復計劃以確保：（1）基金持續運作；（2）基金管理信息系統及其中的基金信息得到保護；（3）外部和內部溝通順利開展；（4）基金投資顧問根據SEC擬議保密報告機制報告重大基金網絡安全事件；以及（5）事件得到書面記錄。6.至少每年對該計劃進行重新評估?；鸸径聲枰醪綄徟撚媱?，并且收到（至少）一份年度書面報告。

12、擬議規則規定的董事會職責和網絡安全防范的總體框架與本文所述的監督結構和方法相一致。治理架構和董事會職責眾所周知，高層參與對于有效實施網絡安全計劃至關重要。高級管理層應對制定網絡安全戰略給予充分重視。此外，董事會應對監督戰略實施工作給予充分重視。在監管檢查部門出具的報告中也對此進行了強調。114共同基金董事論壇|網絡安全和不斷變化的環境威脅如果獲得通過，第38a-2條規則將對董事會監督提出具體要求。完成針對基金公司網絡安全政策和程序的初步審批之后，基金公司董事還需審查網絡事件報告以及政策和程序的重大變化。SEC在相關文件中一直強調：“董事會監督不應是被動行為”。12定期開展風險評估鑒于網絡安全威

13、脅的性質不斷變化，SEC工作人員意識到應對網絡安全威脅開展動態評估。SEC工作人員建議投資顧問和基金公司了解與其業務相關的網絡安全威脅和漏洞。13根據第38a-2條規則，基金公司將基于已確定的信息系統清單開展風險評估并根據風險評估結果對網絡安全威脅進行分類和排序，同時了解不同服務提供商在維護和保護基金信息方面的作用。該規則將要求基金公司以書面形式記錄風險評估結果。評估潛在威脅可能需要了解：14 基金公司（直接或通過服務提供商）擁有的信息類型；用于收集信息的技術系統；信息和技術面臨的內外部威脅；如果系統遭到破壞，基金公司和服務提供商面臨的風險；為減輕網絡安全風險而制定的控制措施和流程。如上所述，

14、基金公司董事將采用常規方法進行威脅評估并從業務角度考量各項威脅。例如，如果某個信息或技術系統可能遭到破壞，基金公司董事或將考慮公司的哪些業務職能將受到影響，影響程度如何，持續多長時間；威脅來源是什么；應當采取哪些首要緩解措施；以及公司將如何處理實際事件。15制定網絡安全策略 投資管理部工作人員建議基金公司根據評估過程中收集的信息制定網絡安全威脅預防、檢測和應對計劃。16 根據建議，該項計劃可能包括：數據訪問保護；17 數據丟失預防；18 數據備份和檢索；19 事件應對計劃；20 網絡安全策略定期測試。21第38a-2條規則提出了類似要求，并且規定除上述風險評估外，基金公司的網絡安全風險管理計劃

15、還應包括：用戶安全和訪問標準，包括啟用多因素認證（MFA）、設置密碼程序、根據“必要知道”原則限制員工訪問以及確保遠程訪問技術的安全；信息系統定期評估，以此支持防止未經授權訪問或使用數據的措施；網絡安全威脅和漏洞管理；網絡安全事件應對計劃，旨在提高重大網絡事件期間的運營韌性并就政府和客戶報告提出具體要求。5共同基金董事論壇|網絡安全和不斷變化的環境威脅有效實施戰略投資管理部工作人員建議網絡安全策略實施工作應當包括：22 執行書面政策和程序；對管理人員和員工進行有關威脅以及相關預防、檢測和應對措施的培訓；開展投資者教育以降低其賬戶風險敞口。除上述建議外，相關執法行動也可以就SEC對網絡安全的看法

16、提供有用信息。SEC執法部成立了網絡部門，負責監控受監管實體的網絡安全控制措施。在最近三次執法行動中，SEC對在基于云計算的電子郵件系統方面采取松懈網絡控制和出現網絡安全問題的八家SEC注冊公司進行了處罰。23投資顧問如何制定可持續的網絡安全計劃？投資顧問和其他主要服務提供商可以根據各種框架制定網絡安全計劃。雖然深入了解此等計劃不屬于董事的職責范圍，但是可以幫助董事會履行監督職責并確定關鍵問題。（本文經常提到“投資顧問”和“投資顧問的網絡安全計劃”，這體現了投資顧問在大多數基金公司中的核心作用，但是并不意味著基金公司不會制定自有網絡安全計劃，也不意味著貶低基金管理人員或除投資顧問以外的提供商在

17、基金公司中的作用）。國際注冊專業會計師協會（AICPA,The Association of International Certified Professional Accountants）提出的框架可以幫助基金公司預防、檢測和緩解網絡安全事件，也可以為董事會履行監督職責和了解相關信息提供指導。該框架包括以下五個步驟：確定需要保護的對象；評估并劃分職責；建立風險管理流程；采取應對措施；以及 不斷總結經驗。下文旨在為董事會履行監督職責和了解相關信息提供潛在方法，而非支持任何特定框架。除AICPA提出的框架外，投資顧問和其他服務提供商還可以根據其他框架制定網絡安全計劃。此外，下列問題可能并不適合

18、所有基金公司董事會；網絡安全監督因基金的規模和復雜程度等因素而存在較大差異。6共同基金董事論壇|網絡安全和不斷變化的環境威脅確定需要保護的對象實施網絡安全計劃應從管理層或投資顧問確定關鍵資產（例如信息、數據、個人信息、IT系統）并評估潛在攻擊者（包括攻擊方式、原因以及發生的相對可能性）入手。在評估投資顧問是否適當考慮了基金面臨的網絡安全風險時，董事可能需要考慮以下問題：基金面臨的最大網絡安全威脅是什么？哪些是我們必須保護的重要資產（包括數據和其他資產）？清單是否涵蓋基金運營所需的重要業務信息、個人信息和所有系統？投資顧問是否了解網絡攻擊的潛在途徑？然而，鑒于基金行業的性質，投資顧問并非唯一需要

19、董事會關注的實體。除基金投資顧問外，還有許多第三方也在為基金提供關鍵服務。這些服務提供商有權訪問關鍵信息，很可能成為網絡安全事件目標。為確定需要保護的第三方服務提供商的相關資產，投資顧問應當全面了解基金聘請的所有服務提供商，包括他們可以訪問的信息以及與投資顧問自有系統和數據交互的方式。此外，了解第三方服務提供商是否將可能帶來第四方及以上風險的業務外包或離岸外包也至關重要。董事可能需要考慮基金（一般通過投資顧問采取行動）是否擁有：第三方服務提供商的完整清單；第三方所收集、使用和/或維護的關鍵數據的完整清單；監控第三方如何訪問基金公司或投資顧問自有系統和數據的流程；對將活動外包或離岸外包給其他方的

20、理解；針對基金第三方服務提供商帶來的網絡安全風險進行排序的流程。評估并劃分職責配置適當人員并明確劃分角色和職責對于有效實施網絡安全計劃至關重要。網絡安全計劃的有效性取決于該計劃的負責人。投資顧問可以指派內部人員處理網絡安全工作或將網絡安全工作外包給適當的第三方。此外，投資顧問需要根據基金的規模、結構和復雜程度劃分網絡安全相關職責。投資顧問需要確定如何針對網絡安全計劃進行人員配置吸引內部人才制定計劃或者聘請第三方處理網絡安全工作。識別和聘請網絡安全人員可能極具挑戰。由于考慮因素太多，安全漏洞太多，而管理各項威脅的IT專業人員太少，許多組織被迫外包網絡安全工作。根據德勤 2019網絡安全前瞻調研報

21、告，85%的受訪者表示在一定程度上依賴供應商和托管服務提供商來處理網絡安全工作，其中三分之二的受訪者外包了21%至50%的網絡安全工作。247共同基金董事論壇|網絡安全和不斷變化的環境威脅就網絡安全計劃的人員配置而言，董事可能需要考慮以下問題：投資顧問是否指派了內部人員處理網絡安全工作？如果是 投資顧問應如何評估這些人員是否接受了適當培訓？投資顧問是否面臨網絡安全人員保留問題？投資顧問是否擁有實施網絡安全計劃所需的所有網絡資源？如果投資顧問聘請第三方服務提供商處理網絡安全工作，董事可能需要考慮以下問題：投資顧問對所提供的服務水平是否滿意？投資顧問開展了何種類型的初步盡職調查？投資顧問如何開展持

22、續盡職調查？配置適當人員（無論是內部人員還是服務提供商）之后，公司必須確定如何構建網絡安全監督框架。與風險管理的其他領域一樣，高層基調對于網絡安全監督同樣至關重要。無論對第三方的依賴程度如何，公司高級管理層都應在此過程中發揮關鍵作用。某些組織已經意識到配置網絡安全專業人員的優勢。投資顧問機構的整合網絡聯系可以幫助公司針對優先事項達成一致，并且創建統一議程甚至避免對本可以預防的事件進行補救，這對投資顧問而言是一個新思路。如今，許多金融服務機構都在業務部門內部設置業務安全官。規模較大的投資顧問機構和其他服務提供商可以考慮采用類似結構（詳見下圖）。這與強調第一道防線管理企業風險相一致。高級管理層信息

23、風險委員會業務安全官（業務部門層面）首席信息安全官（或同等職位）企業安全組織業務A網絡代表網絡代表網絡代表業務B業務C8共同基金董事論壇|網絡安全和不斷變化的環境威脅在評估投資顧問（或其他主要服務提供商）的網絡安全工作時，董事可能需要考慮以下問題：投資顧問機構的網絡安全專業人員向誰匯報工作？每個主要業務部門是否都配置了網絡安全專業人員？如果不是，網絡安全專業人員如何監控各個業務部門？開發新產品或新服務時，業務團隊如何與網絡安全專業人員開展合作？發生網絡事件（或疑似事件）或規劃新項目時，業務領導人是否知道應當與誰聯系？建立風險管理流程確定公司的網絡安全風險承受能力（有時也被稱為“風險偏好”）對于

24、制定有效的網絡安全計劃至關重要。該流程包括確定數字渠道中斷時間的可接受水平；評估客戶體驗質量與安全性之間的平衡情況；以及評估客戶使用的便利性等。完成全面評估之后，應將相關風險納入公司的企業風險管理框架。為更好地理解網絡安全風險承受能力及其對更廣泛風險管理的影響，董事可能需要考慮以下問題：投資顧問認為其網絡安全風險承受能力如何？關鍵網絡安全風險是否根據風險承受能力來衡量？網絡安全風險工作如何為投資顧問提供更廣泛的企業風險考慮因素？投資顧問應根據其風險承受能力，制定相關政策和程序來管理組織的網絡安全風險。由于基金的規模和復雜程度以及每個投資顧問的情況各不相同，因此各基金的網絡安全風險管理政策和程序

25、存在較大差異。在監督投資顧問的網絡風險管理流程時，董事可能需要考慮以下問題：投資顧問如何管理風險并確保將風險降低到可接受的水平？管理層如何投入和分配資源以監控和防范網絡風險并加快響應和恢復進程？如何評估安全管理支出的回報和網絡風險管理計劃的有效性？如上所述，投資顧問通常依靠其他第三方服務提供商來執行運營基金所需的日常職能。這些服務提供商可能會給基金公司和投資顧問帶來相當大的網絡安全風險；因此，管理這些風險對于制定有效的網絡安全計劃至關重要。有鑒于此，董事應當了解組織如何管理第三方帶來的風險，并且可能需要考慮以下問題：投資顧問是否建立了完整的自動化流程來提高第三方生命周期管理（包括接洽、盡職調查

26、、合同簽訂以及對現有或新增第三方的持續監控）的效率和集成程度？第三方監督職責是否已被納入組織內部？是否已明確劃分持續監控方面的角色和職責？投資顧問是否提高了風險管理能力以及第四方和第五方控制措施的透明度？投資顧問是否對第三方進行了主動的、智能驅動的網絡威脅監控，包括具有針對性的數據保護審查，并提高了對第三方環境中托管組織數據的可見性？9共同基金董事論壇|網絡安全和不斷變化的環境威脅采取應對措施有效實施網絡安全計劃需要公司制定和執行相關政策和程序，以監督風險管理流程并應對不可避免的網絡安全事件。網絡安全計劃不能防止所有網絡安全入侵，但是應當可以檢測入侵并在可行范圍內減輕損害。由于網絡安全事件不可

27、避免，因此投資顧問必須制定適當的危機應對計劃。例如，該計劃需要考慮投資顧問將如何應對危機，包括誰將采取何種應對措施，如何確?；鸸灸軌颢@得關鍵服務，以及在發生數據丟失時如何恢復關鍵數據。在評估網絡安全事件防范情況時，董事可能需要考慮以下問題：是否已為網絡安全計劃分配充足的人員和資金？如何處理和報告事件？如何測試網絡安全計劃？測試是否定期進行？應對網絡安全事件可以依據哪些協議？這些協議在整個組織中是否得到了明確和充分理解？公司是否進行了模擬演習以提高對網絡安全入侵的準備程度？對于第三方服務提供商，公司是否深入研究了合同條款以確定各自對網絡安全事件的責任？如果合同沒有相關規定，是否商定了其他機制

28、以在發生網絡安全攻擊時各司其職？業務連續性和災難恢復計劃如何考慮網絡安全問題？網絡安全計劃的一個關鍵組成部分是完善的溝通機制。當董事會和投資顧問評估通信協議時，相關考慮因素包括報告計劃，向董事會報告的關鍵人員，董事會履行網絡安全監督職責的方式以及報告內容。董事會需要考慮的溝通相關事項包括：采用何種報告計劃？董事會和投資顧問確定的報告計劃應當足以提供適當的監督保障。根據基金及其投資顧問的規模和復雜程度，董事會可以決定是在每次會議上進行報告還是采取其他適當的時間安排。除定期報告外，董事會和投資顧問還應確定何時向董事會報告關鍵網絡安全問題。董事會和投資顧問可以根據事件的實際情況商定閾值和時間限制。由

29、誰向董事會報告？董事會和管理層還應當討論由誰向董事會進行報告首席信息安全官還是網絡團隊的其他成員。首席合規官可以幫助董事會根據待討論的特定網絡安全問題確定適當的報告人員。董事會如何履行網絡安全監督職責？董事會可能希望指定一個委員會承擔主要監督職責，或決定由全體董事會成員共同承擔該職責。如果董事會選擇設立一個委員會來監督網絡安全，該委員會應當考慮如何與全體董事會成員充分共享關鍵信息以促進有效監督。此外，董事會可以考慮指定專人負責在兩次會議期間接收重大網絡事件通知。董事會將收到什么類型的報告？除確定網絡安全監督職責履行方式外，確定適當的報告內容也至關重要。鑒于網絡安全問題的技術性質，董事會必須與管

30、理層合作，確保報告對董事會而言易于理解并且可為開展有效監督提供重要信息。10共同基金董事論壇|網絡安全和不斷變化的環境威脅不斷總結經驗隨著基金不斷變化和發展，其可能增加或變更第三方服務提供商以獲得更優服務。此外，基金風險的性質可能會因基金管理使用技術的方式而發生重大變化。最后，網絡安全威脅的性質并非一成不變不良行為者正在不斷改變網絡入侵方式。因此，網絡安全計劃必須定期重新評估和更新以反映實際情況。評估投資顧問在此方面的行動時，董事會可能需要考慮以下問題：投資顧問審查其網絡安全政策和程序的頻率如何？投資顧問和董事會是否接受了關于新興網絡安全威脅的定期培訓？例如，投資顧問可能會接受關于網絡事件“根

31、本原因”分析或行業網絡事件“成因”分析的培訓。網絡安全事件相關信息是否在整個組織中共享以使組織能夠從過去的事件中吸取教訓？投資顧問是否參與了信息共享以便及時了解新興威脅？網絡安全保險鑒于網絡安全事件可能造成重大損失，董事會或希望與管理層、法律顧問和保險經紀人討論是否可以通過保險25 彌補網絡安全事件帶來的損失和費用以及此類保險是否適合基金公司。與網絡安全的其他方面一樣，隨著保險公司獲得更多專業知識以及網絡安全問題不斷演變，網絡安全保險也在不斷發展。就此領域而言，董事可能需要考慮以下問題：誰持有保單？保單由投資顧問或其他服務提供商持有（而不是由基金公司直接持有）的情況可能更加常見。誰是保單下的受

32、保人？保險范圍包括哪些方面？是否有重要的免責條款需要考慮？根據基金公司或投資顧問持有的基礎保單，網絡安全事件是否會按特定方式（明示或暗示）進行處理？不同類型的保單（針對組織內的不同職能規定不同的保險范圍并可能由不同的保險公司提供）將如何相互作用？網絡安全新興領域數字化轉型推動網絡演進受市場需求和新冠疫情影響，大多數投資顧問和共同基金管理公司正在開展廣泛而深刻的業務和數字化轉型。董事會應了解轉型工作的潛在網絡影響以及投資顧問和主要服務提供商管理相關風險的方式。下文將重點介紹一些關鍵轉型工作的網絡影響。自動化的便利性是否會帶來更大風險？基金開展業務轉型的重點在于廣泛應用RPA和人工智能（AI）/機

33、器學習（ML）。RPA和AI/ML可以推動自動化，增強人工決策并快速創造業務價值。資產管理公司和共同基金管理公司正在加強RPA和AI/ML技術部署，以期通過自動化和分析工具提高流程效率。投資顧問也在利用RPA和AI/ML識別海量數據集中的常見特征或意外事件，整合細微數據洞察，并且實現快速和大規模數據解讀。這些技術還有助于解決人力資源領域培訓和運營成本不斷上升以及熟練人才缺乏的問題。11共同基金董事論壇|網絡安全和不斷變化的環境威脅然而，此類RPA和AI/ML技術的廣泛應用增加了犯罪分子可以用于攻擊組織的攻擊媒介，并且帶來了更大的安全挑戰：RPA技術帶來了新的攻擊面，可能造成未經授權的訪問。RP

34、A軟件通常需要特許訪問權限（或高于標準用戶的訪問權限）才能執行任務。開發人員通常會將訪問權限“硬編碼”到腳本程序中，該過程可能包括從不安全的位置檢索憑證的步驟。惡意內部人員或網絡攻擊者可能會竊取硬編碼的可共享憑證，從而在網絡中自由移動并訪問加密數據系統。AI/ML增強功能將帶來類似的網絡風險。此外，訓練機器所需的數據量也會提高網絡風險。訓練預測模型需要依靠大量數據；了解模型運行情況需要依靠測試數據；模型投入使用之后需要使用實時事務數據。IT組織可能會忽略訓練和測試數據的數據保護需求，從而導致數據更易訪問。投資顧問應當考慮如何更新網絡安全計劃以應對這些技術的獨特風險。就此而言，董事可能需要考慮以

35、下問題：投資顧問能否識別、檢測和應對RPA和AI/ML帶來的新興威脅（包括加強安全開發實踐）？投資顧問將如何維護使用RPA和AI/ML（包括算法和模型）存儲/處理的信息的機密性和完整性？IT專家是否已與負責業務連續性計劃或災難恢復計劃的基金公司內部人員開展合作以確保服務的持續可用性？云服務的安全性如何？過去十年，云服務和云服務賦能技術的出現導致組織看待其業務的方式發生變化。云服務可以幫助投資顧問提高敏捷性、自動化程度和營銷效率。數字化轉型和云技術應用可能引發諸多網絡風險，包括：分散的云服務治理可能導致整個企業的云安全功能支離碎裂、業務驅動的云安全目標與集中治理方式相互矛盾、控制措施缺乏且與企業

36、無法融合；了解和管理云端數據風險和隱私問題可能極具挑戰；存儲在配置錯誤的云服務中的數據可能會暴露敏感信息并違反相關法規；匆忙遷移至云端可能會對安全性造成損害，從而導致漏洞滲透到設計和代碼中；缺乏針對云資產的身份和訪問管理以及在管理新用戶和第三方訪問需求方面存在漏洞；以及 冗余規劃受限以及對云服務故障準備不足。就云安全而言，董事可能需要考慮以下問題：投資顧問是否確定了符合組織風險承受能力的云環境基本安全要求？投資顧問是否確定了針對云服務的控制措施以及相關角色和職責以解決阻礙風險緩解工作的治理和技術問題？投資顧問如何管理云平臺和相關應用程序的用戶身份？投資顧問是否通過自動化建立了對安全事件或故障的

37、快速響應能力？12共同基金董事論壇|網絡安全和不斷變化的環境威脅遠程工作帶來虛擬環境風險新冠疫情導致企業的短期和長期運營模式發生重大轉變。如今，許多投資顧問都已經意識到遠程工作模式帶來的經濟和運營優勢。投資顧問應當確保員工擁有在虛擬辦公環境中工作所需的設備、工作方法、訪問權限和技術，尤其是在需要盡量減少接觸以及業務和社區干擾的情況下。此外，內部威脅計劃可能需要重新評估，因為許多組織將查看以前的工作行為模式，以此建立識別網絡或應用程序異?；顒拥幕緲藴?。遠程勞動力的出現導致攻擊面不斷擴大，并且還會帶來其他網絡安全風險，包括：員工可能使用未經安全組織充分審查或存在未識別/未修復漏洞的遠程協作和數據

38、共享工具。員工可能通過遠程協作和數據共享工具不恰當地共享/存儲敏感信息。遠程員工可能會被誘騙通過網絡釣魚郵件或社交軟件提供敏感信息。遠程訪問基礎設施可能缺乏容量，無法滿足增加的使用量。不當使用缺乏適當安全措施和監控機制的個人設備可能導致員工意外暴露敏感數據、故意竊取基金和股東數據并且增加犯罪分子破壞這些設備的風險。董事會成員可能需要考慮以下問題：投資顧問開展網絡安全工作的總體方法能否在轉向居家辦公的過程中發揮作用？投資顧問是否改進了組織的IT基礎設施以管理不斷增長的遠程訪問規模和網絡流量？投資顧問是否加強了組織的遠程訪問控制以便為持續或增加的內部網絡遠程訪問提供適當的安全保障（例如MFA）？投

39、資顧問是否改進了現有內部威脅監控計劃并加強了內部和第三方活動監控？投資顧問是否提高了安全意識并加強了威脅檢測和響應以促進對惡意活動的主動識別？投資顧問是否擁有與遠程使用公司發放硬件和員工個人電子設備相關的政策、控制措施和監控能力？投資顧問是否根據從虛擬運營中吸取的經驗教訓調整了員工培訓和政策？總結有效的網絡安全計劃始于對網絡風險的適當治理。高級管理層應幫助董事會了解網絡安全控制措施的設計和有效性，就基金網絡風險的關鍵領域進行公開對話。因此，管理層應明確如何制定網絡安全計劃，并確保網絡安全負責人具備降低網絡事件發生概率所需的技能、資源和方法，以及在發生網絡事件時檢測和減輕任何潛在損害的能力。13

40、共同基金董事論壇|網絡安全和不斷變化的環境威脅董事會成員應繼續探索如何將網絡安全監督納入整體風險監督工作。雖然網絡安全正在迅速發展并且有時會表現出較高的技術復雜性，但是董事依然需要：了解主要威脅的一般特征；就如何減輕和管理風險與管理層展開對話；了解如何識別網絡風險和數據安全事件以及制定了哪些響應機制；了解可能影響基金和網絡安全計劃監督的關鍵網絡安全風險點。與其他監督角色一樣，董事有權針對網絡安全相關問題作出商業判斷。為此，董事會應當掌握適當的信息，并且根據機構所面臨的風險提出適當的問題。為了提高董事會會議效率，高級管理層、技術主管和董事須就這些復雜的技術問題如何影響投資顧問、基金管理主體和第三

41、方服務提供商的關鍵業務風險，如何識別這類問題以及圍繞問題事件升級、溝通和報告機制等相關公司治理事項達成共識。共同基金董事論壇網絡安全監督工作組 Sameer Airyil，高級經理，Deloitte&Touche LLPColleen Brown，合伙人，Sidley Austin LLPKrissy Davis，副主席，美國投資管理行業領導人，Deloitte&Touche LLP Nathan Greene，合伙人，Sidley Austin LLPThomas Hayden，董事會主席，Oakmark FundsPaul Kraft，合伙人，投資管理行業卓越品牌領導人，Deloitte&

42、Touche LLP Peg McLaughlin，董事，Manning and Napier FundsLloyd Wennlund，董事會主席，Datum One Series Trust；董事，Calamos Funds Christopher Wilson，董事會主席，Invesco Funds14共同基金董事論壇|網絡安全和不斷變化的環境威脅尾注1.US Executive Office of the President,“Cost of malicious cyber activity to the US economy,”Council of Economic Advisors,

43、February 2018.2.The impact of data breaches on reputation&share value:A study of US marketers,IT practitioners and consumers,”Ponemon Institute LLC,May 2017.3.https:/gdpr-info.eu/issues/fines-penalties/4.In re Caremark Int l Deriv.Litig.,698 A.2d 959(Del.Ch.1996)5.Firemen s Retirement System of St.L

44、ouis v.Sorenson,et al.,C.A.No.2019-0965-LWW.6.US Securities and Exchange Commission(SEC),IM Guidance Update,No.2015-02,April 2015(“IM Cybersecurity Guidance”).7.SEC,Cybersecurity and resiliency observations,Office of Compliance Inspections and Examinations,January 27,2020(“Cybersecurity Observations

45、”).8.SEC,CF Disclosure Guidance:Topic No.2 Cybersecurity,Division of Corporation Finance,October 13,2011.9.See Cybersecurity Risk Management for Investment Advisers,Registered Investment Companies,and Business Development Companies,Release Nos.33-11028;34-94197;IA-5969;IC-3449,February 2022.Availabl

46、e at https:/www.sec.gov/rules/proposed/2022/33-11028.pdf.(“38a-2 Proposing Release”)10.Securities and Exchange Commission(SEC),“SEC proposes cybersecurity risk management rules and amendments for registered investment advisers and funds,”press release 2022-20,February 9,2022.11.See Cybersecurity Obs

47、ervations.12.See 38a-2 Proposing Release.13.The SEC staff has recommended that advisers and funds understand the cybersecurity threats and vulnerabilities relevant to their businesses.14.See IM Cybersecurity Guidance.15.Ibid.16.This focus on cybersecurity oversight from the perspective of correlatin

48、g risk with specific business functions is discussed in Parenty,T.&Domet,J.Sizing up Your Cyberrisks.Harvard Business Review(2019).17.See IM Cybersecurity Guidance at 2.18.See IM Cybersecurity guidance.See also Cybersecurity Observations.19.See IM Cybersecurity Guidance.20.Ibid.21.Ibid.22.Ibid.23.Ibid.24.SEC,“SEC announces three actions charging deficient cybersecurity procedures,”press release 2021-169,August 30,2021.25.See IM Cybersecurity Guidance.報告原名Cybersecurity and the evolving threat landscape:The role of the mutual fund director由德勤美國與共同基金董事論壇聯合撰寫，德勤中國投資管理業團隊進行翻譯。