SEC计划加强金融市场的网络安全监管

关键要点

证券交易委员会（SEC）正在努力扩大证券市场中需遵循更严格合规性和信息系统完整性的公司的范围，并提出了一系列新的网络安全和第三方云服务提供商使用的要求。

这份长达465页的，首次于3月15日，包括对现有法律和法规的更新，其中涵盖了二十多项更改。主要变化包括SEC对覆盖系统入侵的定义扩展、要求覆盖系统进行年度渗透测试、关于通知委员会及受影响各方的违规事件的新规定，以及指定关键的第三方服务提供商（如云服务提供商）参与年度业务连续性和灾难恢复测试的要求。

这些新规将为SEC提高对金融生态系统内网络攻击的可见性。目前法律只要求报告“成功”的系统入侵事件，而新的定义将包括其他网络安全事件，例如分布式拒绝服务（DDoS）攻击和其他“干扰或显著降低”系统运行的攻击。

此外，任何未授权或无意访问数据的行为——无论是外部人士还是内部员工—均被视为覆盖事件。

SEC还将监管覆盖范围扩大至安全基础数据互换库(SBDSR)，以及3500家注册经纪交易商中超过特定规模阈值的子集，以及之前免于更严规则的清算机构。虽然目前仅有“少量”的加密货币资产交易由当前注册经纪交易商完成，但委员会表示，交易或管理加密货币资产的系统也可能受到新规的影响。

该机构表示，这些新规针对“关键市场参与者”，他们“在美国证券市场中扮演重要角色，或在系统问题发生时可能影响投资者、整体市场或个别证券的交易。”这些提议部分是为了考虑“对互联技术高度依赖的新型注册实体”、日益远程化的后疫情职场以及增加的云服务和其他第三方产品使用，这些都可能引入新的商业风险。

“考虑到与SCI实体的网络安全相关的持续和日益增加的风险，委员会认为有必要增强对RegulationSCI的网络安全条款，以帮助确保SCI系统及我们证券市场中最重要实体的间接SCI系统保持安全，”提案规则中提到。

新规将涵盖这些公司支持证券交易、清算和结算、订单路由、市场数据、市场监管或市场监控的所有系统或技术，以及任何在美国证券市场中代表“单点故障”的系统。这不仅包括公司自有和运营的系统，还包括由第三方（如云服务提供商）代理管理的系统。

美国政府，尤其是在拜登政府的领导下，越来越关注第三方云服务提供商在网络安全生态系统中的作用。这些实体承载或管理其客户的大量IT基础设施，并且常常成为国家和犯罪黑客组织的，这些黑客可以利用这一访问权限对其客户进行攻击。利用监管和其他工具更好地洞察云中的恶意活动是上上个月提到的建议之一。

举一个例子，SEC提到，如果对云服务提供商的虚拟机监视器进行攻击，该监视器支持多台虚拟机间共享物理计算和内存资源，那么这也可能会干扰甚至禁用受SCI覆盖系统，符合系统入侵的定义。

委员会还强调需要特别关注SBDSR，因为这些实体在提供“重要基础设施”方面扮演着重要角色