网络安全威胁:退休计划发起人和受托人需要了解什么?外文翻译资料

 2022-07-11 03:07

英语原文共 6 页,剩余内容已隐藏,支付完成后下载完整资料

网络安全威胁:退休计划发起人和受托人需要了解什么?

本文分析退休计划的网络安全问题。

介绍 - 风险是什么?

由于网络漏洞造成的员工个人信息丢失是所有雇主日益关注的问题。没有任何组织或行业能够免受网络威胁,包括福利计划赞助商和计划服务提供商。在员工福利的世界里,雇主通常只关注HIPAA要求的保护健康计划信息。但是雇主现在越来越重视保护与其他类型的福利计划(包括退休计划)相关的员工信息,维护和提供给计划记录员的退休计划数据和其他信息通常包括姓名,出生日期,地址,社会安全号码,薪酬和其他财务信息,因为这些个人信息通常足以让某人窃取员工的身份。

那么,网络违规退休计划数据是什么样的呢?这可能与其他任何网络违规行为非常相似,或者可以专注于退休计划设计的独特性,如2016年两次广泛报告的违规行为所示。首先,工会的退休金计划数据被黑客的“勒索软件”盗取,“勒索软件”是一种加密或锁定设备或网络数据的软件,需要三个比特币(价值约2,000美元)来解锁数据。在这种情况下,数据是从备份服务器中恢复的,并且未支付赎金。在第二次被广泛报道的违约行为中,政府确定的捐赠计划,资产超过35亿美元,损失了260万美元,这损失了的260万美元是从58个参与者账户的欺诈贷款中提取的。参与者的个人信息被用来建立网站档案,然后用来提取欺骗性的参与者贷款。报告显示,在这种情况下,该计划由执行该计划的公司恢复到计划中。

违约的代价,包括发现漏洞的程度、恢复数据和恢复系统完整性,都可能是实质性的。此外,违约可能会引发政府机构的执法行动,导致在州或联邦法律下产生的处罚,并有可能使雇主或计划服务提供商根据普通法或不同的州法规向民事诉讼提供民事赔偿。其他费用通常包括恢复丢失的计划资产,发出违规通知以及提供违约后身份盗用保护。最后,即使难以衡量,对组织员工关系和公众形象的不利影响也可能很大。

监管结构

包括北卡罗莱纳州法律在内的许多州法律都规定了泄露通知和私人信息披露行为的权利,州检察长已积极在网络违规案件中执行这些法律。加利福尼亚州的数据违规通知法于2014年进行了修订,要求违规组织向受影响的个人提供至少一年的时间信用监测和身份盗窃保护服务。

目前没有全面的联邦监管计划来管理退休计划及其服务提供商的网络安全。虽然有一些法律规定金融业对财务信息的使用和安全性,例如公平信用报告法,格雷姆-利奇-比利法,以及公平和准确的信用交易法,但这些法律不直接适用于福利计划或与这些计划相关的敏感的个人数据。但是,这并不意味着没有义务保证员工个人计划相关信息的安全。

根据ERISA,选择以电子方式分发计划信息的计划发起人有义务根据劳工部(DOL)法规第2520.104b-1(c)条确保用于提供信息结果的电子系统

  1. 实际收到传输的信息,以及
  2. 它保护与个人帐户和利益有关的个人信息的机密性。如果未能遵守这一安全要求,可能会成为索赔的依据,因为它没有提供必要的信息披露,这可能使该计划受到民事处罚。 同样,DOL技术公告第2011-03号(一个涉及安全,持续可用的网站,用于交流关于退休计划下参与者导向的投资选择的信息)明确包括作为利用电子媒体披露的条件之一,该计划管理员采取“合理计算的适当和必要措施,确保电子交付系统保护个人信息的机密性”。

2016年1月1日,一份由多尔提出的咨询委员会关于网络安全问题的报告在2017年1月发布。除了直接解决网络安全是否属于受托责任,以及ERISA是否抢占国家网络安全法律的问题之外,该报告还强调了需要进一步澄清计划赞助商和供应商责任的范围,以保护参与者信息。然而,该报告提供了广泛而有用的信息来规划赞助商,受托人和计划服务提供商有关管理网络安全风险的方法。该报告建议计划发起人和受托人在保护福利计划时考虑网络安全数据和资产以及何时决定选择或保留服务提供商。

该委员会是在ERISA的领导下成立的一个机构,负责为劳工部部长在ERISA的领导下的职责提供建议。自2011年以来,该委员会一直在研究福利计划的网络安全问题,报告反映了调查这些问题和制定适当应对措施所涉及的重大时间和努力。报告虽然没有法律或法规的力量,但是根据广泛ERISA受托人义务的行为与审慎和资源有影响力的集团针对这个问题,这份报告可能代表建立未来监管或法定基础努力解决计划赞助商和供应商受托负责网络安全问题。另外,报告可以作为私人原告普通法上的疏忽索赔的基准标准。

2013年总统行政令“改善关键基础设施网络安全”,导致联邦政府通过国家标准与技术研究院(NIST)与私营行业的利益相关方进行合作,制定自愿标准和最佳实践,以应对关键基础设施服务的网络安全风险。一年后,NIST发布了网络安全框架,提供了一套行业标准和最佳实践,以帮助组织管理网络安全风险。NIST框架是一项自愿指南,针对拥有或运营关键基础设施的组织。但是,评估,规划和改进网络安全能力和计划的框架原则和最佳实践并非特定于行业。因此,可以将它们用作制定网络安全计划或补充组织现有风险管理流程的参考。专注于使用业务驱动因素来指导网络安全活动,并认识到没有一种适用于管理网络安全风险的万能方法,该框架将随着退休行业提供实施反馈而发展和更新。值得注意的是,ERISA咨询委员会报告鼓励计划发起人,受托人和服务提供商使用NIST框架。

2002年通过制定有效技术支持反恐怖主义法(SAFETY Act)鼓励使用反恐产品,服务和技术在民用环境中的应用,并包括由于指定或认证技术已经发生的恐怖主义行为而引起的索赔责任限制采用。ERISA咨询委员会报告指出,虽然在通过安全法时可能没有考虑到网络安全攻击利益计划所造成的财务损失,但国土安全部已经越来越多地审查网络安全领域的流程和程序。因此,计划发起人和受托人可能需要考虑安全法案认证是否在其网络安全风险管理战略中占有一席之地。对于大多数组织而言,利用安全法责任限制的最佳方式可能是聘请拥有或使用安全法所认可的技术的供应商。

纽约州颁布了一项网络安全法规,旨在保护该州的金融服务行业和消费者免受网络攻击的威胁。这些法规于2017年3月1日生效,以风险为基础并制定了一定的最低标准,同时鼓励金融服务公司跟上不断发展的技术。 该规定包括以下要求:

  • 治理框架控制,包括对由合格管理层监督的充足资金和人员配备的网络安全计划的要求,并定期向该组织的最高管理机构报告;
  • 技术系统的基于风险的最低标准,包括访问控制,包括加密在内的数据保护和渗透测试;
  • 处理网络违规行为所需的最低标准,包括事件响应计划,保存数据以应对此类违规行为以及向监管机构通报重大事件;
  • 通过要求识别和记录重要缺陷,补救计划以及对监管机构遵守法规的年度认证来实现问责。

这些法规可能会成为管理与财务信息相关的网络安全风险的国家基准,计划发起人和受托人在设计和实施网络安全风险应对措施时应认真考虑这些法规的要求。

行业资源

行业组织正在努力帮助计划赞助商和服务提供商了解并响应不断发展的网络安全形势。 SPARK研究所正在开发统一的数据管理界定供款计划市场的标准。 目标是促进外部各方的透明度,并为网络安全认证计划提供必要的元素。 SPARK的数据安全监督委员会正在领导这项工作,其中包括计划管理员,顾问,SPARK员工和国土安全部的代表。他们的工作处于早期阶段,但可能对退休计划赞助商,受托人和计划服务提供商有用。

由美国注册会计师协会(AICPA)发布的2016年4月员工福利计划审计质量警示#365涉及DOL首席会计师对计划网络安全威胁表达的担忧。 由于大多数计划赞助商和服务提供商使用电子手段交换计划数据,进行金融交易并与参与者进行交流,计划和参与者记录处于网络攻击的风险之中。DOL的首席会计师建议负责实施流程和控制以限制对计划系统,应用程序和数据的访问权限,并鼓励计划发起人和受托人评估计划网络安全治理协议,包括计划服务提供商和他们的供应商,以确定适当的流程和有控制措施来保护和限制对计划数据的访问。

美国注册会计师协会还正在开发工具和资源,以协助计划发起人制定和实施网络安全风险管理战略。例如,AICPA服务组织控制(SOC)报可能对在外包计划管理和其他服务提供商时计划发起人特别有帮助。AICPA的SOC1报告涉及与服务提供商内部财务报告控制相关的控制措施,而SOC2报告涉及IT系统和隐私计划的风险,超出了财务报告控制所需的风险。SOC2报告侧重于服务提供商的IT系统的安全性,可用性,处理完整性,机密性或隐私,以及这些系统保护使用服务提供商的各方的数据和机密性的能力,例如计划利用记录员。美国注册会计师协会还组建了一个网络安全工作组,与审计标准委员会合作开发一种专业范围的方法来执行和报告与网络安全相关的鉴证业务。

计划发起人和受托人行动步骤

退休计划发起人和受托人现在应该做什么来解决网络安全风险?首先,制定和维护一项退休计划网络安全风险管理战略。这种战略的关键组成部分和行动步骤可以分为三大类:(1)战略的制定和维护(2)第三方风险的管理(3)评估企业和特定计划的保险覆盖范围,并考虑专业的网络安全保险是否应该在战略中发挥作用

  1. 开发和维护网络安全风险管理战略。
    • 考虑制定战略基础的框架(NIST;安全行为;以行业为基础的计划,包括星火研究所,AICPA)。理想情况下,退休计划网络安全风险管理应与大企业(例如公司实体,受控群体或多雇主/工会组织)的战略相结合。 当计划是大企业的一部分时,如果计划资源充足且可用,计划受托人应就是否存在有效的成本分摊协议寻求指导。
    • 战略的所有权。在计划主办机构、受委托机构和第三方服务提供商中确定和记录谁对战略实施负责什么责任,包括随着环境和资源的变化,包括更新战略的责任。
    • 了解数据。
      • 它是什么;它是干什么用的;它存储在哪里?
      • 数据如何被访问?访问是否得到适当控制,并限于需要访问数据的人员?
      • 数据何时以及如何加密?有关数据加密的静态和传输方面的供应商政策是什么?加密是自动的还是手动的?
      • 需要保留哪些数据以及何时应该销毁或永久保护数据?建立时间表和协议,以摆脱旧的或不必要的数据以降低网络风险。
      • 仅收集,维护和分享必要的数据和资产信息,以满足计划的需要,而不再需要。
    • 测试/更新。参与福利计划网络安全的实体应同意进行的测试程序的频率和类型以及由谁进行。测试可能包括威胁检测,渗透测试,备份和恢复计划的测试以及系统弹性测试。确定如何使用测试结果来更新和增强战略。
    • 外部认证。考虑一个外部认证(如AICPA服务组织控制2(SOC2)报告)是否可以增强安全合规性并帮助简化测试程序。
    • 报告。计划发起人和受托人应考虑计划网络安全问题报告的级别和频率,报告应提供给谁,以及计划正式记录中将如何记录报告。
    • 训练。包括对参与福利计划的员工进行持续培训,并直接或间接获取福利计划数据。此培训应在计划发起人实体内部以及收集,维护或传输福利计划数据的任何服务提供商中进行。
    • 雇佣惯例。要求对新员工进行背景调查和筛选,以直接或间接访问计划数据。
  2. 第三方风险管理。
    • 确定将有权访问计划数据的所有服务提供商(及其供应商)。
    • 评估服务提供商控制和安全计划,包括审查关于数据安全,加密和传输协议的书面政策(参见上文的“了解数据”):定期监测和测试合规性和风险:确定服务提供商更新和报告的适当周期:服务提供商是否同意自愿对控制进行外部审核,如SOC2报告或行业认证?

根据需要审查并修改提供者服务协议,以确保数据保护和责任风险的公平分配有合适的合同义务。 考虑协议应在多大程度上符合适用的数据隐私法律或相关行业标准或认证;有关数据加密和数据销毁的要求;各方的义务在发生网络违规或其他事件时,包括向计划发起人报告或受信参与者的受信和通知:事件调查和整治,包括对计划发起人的协助;服务提供商的网络违规责任范围,包括直接成本(通知,信用监控,法律费用,罚款和处罚),赔偿和责任限制。

    • 确定服务提供商所维护的保险范围的级别和类型,包括为网络安全违规提供的覆盖范围,以及是否以及在多大程度上涵盖了第三方损失。
  1. 保险的作用。

大多数退休计划发起人和服务提供商可能拥有广泛的保险范围,包括商业责任,错误和遗漏,董事和管理人员,受托人以及其他保险。但是,传统上这些政策没有涵盖网络安全风险,或只提供了非常有限的网络安全风险。网络安全保险是保险行业的一个发展部分,在过去几十年里发生了显着变化。虽然价格下降,覆盖范围有所改善,但应仔细审查政策,以确定覆盖的类型和范围,以及政策和个人事件限制。

网络安全保险政策通常提供第三方覆盖,其中一些还包括第一方覆盖。第三方保险是由诉讼引发的,涵盖第三方损害赔偿和辩护费用,并可能包括法医调查的覆盖范围,以及信贷监督和补救的成本。第一方保险是由网络安全违规引发的合同保险,因此不需要第三方损害赔偿或第三方就网络安全事件向被保险人提起诉讼。第一方覆盖范围可能包括与直接风险管理,灾难响应和恢复援助相关的成本。评估网络安全风险评估与网络安全风险评估的覆盖范围,以及网络安全保险是否有效运作,以弥补其他覆盖范围的差距。

最后的考虑

由于网络攻击数量和性质的不断增加,防止或消除所有攻击风险并不是一个合理的目标。 计划发起人和受托人应该专注于制定对网络安全违反计划数据风险的合理和适度的反应。 虽然在撰写本文时,解决网络安全风险的责任是ERISA下的受托责任,但由于网络泄密导致的员工个人信息丢失可能导致严重的不利后果,包括责任,罚款,并要求根据其他州和其他联邦法律进

全文共5606字,剩余内容已隐藏,支付完成后下载完整资料

资料编号:[9722],资料为PDF文档或Word文档,PDF文档可免费转换为Word

原文和译文剩余内容已隐藏,您需要先支付 30元 才能查看原文和译文全部内容!立即支付

以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。

您可能感兴趣的文章