• 2025-11-13 21:10:46

自我监管金融组织拟定新规以提升网络安全

关键要点

新规则的背景

两家自我监管的金融组织正在寻求实施新规则，要求其管辖下的某些公司根据尚未开发的新标准现代化其IT和安全网络。这些规定在周二的联邦公报中发布，SEC代表NSCC和DTC提出了新规，旨在迫使会员公司采取一系列措施，以现代化其业务网络并保护其免受黑客威胁。

两者指出，目前没有最低的IT或网络安全标准或要求，会员公司在获得会员资格时并不需要遵守这些标准。具体来说，他们表示，过时的传统系统在其会员中普遍存在，导致系统面临风险。他们还注意到，缺乏有关网络技术的“任何级别或版本”的标准，例如用于连接或通信的网络浏览器、电子邮件加密、安全消息传递或文件传输。

这些组织认为，如果会员公司希望应对日益增长的数字威胁，那么这种现状必须改变。

“在当前环境下，[DTC和NSCC]维持多种网络和通信方法与协议，某些已经过时，许多比当前标准早了很多年，以便支持使用这些旧技术的参与者，这使得通信面临被截获或引入未知数据的风险，并要求DTC在人员和设备方面付出额外的资源以维护旧的通信渠道。”

黑客通过旧技术成功渗透

新的标准以及实施的时间表尚未正式写入文件，然而这两个组织提供了一些关于他们所期望的变更和技术现代化的细节。例如，他们提到许多会员公司仍依赖与更近期指导由国家标准与技术研究院发布不符的旧版本传输层安全性协议TLS。

根据非营利机构互联网工程任务组IETF的说法，升级从TLS 11到版本12和13，并移除对旧版本的支持“减少了攻击面，降低了配置错误的机会，并简化了库和产品的维护”。

采纳这些更新版本也能对另一个问题形成打击：一些组织使用文件传输协议FTP共享文档和数据。黑客利用旧版TLS的弱点成功获取认证数据，该数据在网络上未加密，从而获取明文用户名和密码，甚至注入恶意软件。

根据新提出的规则，会员公司必须向NSCC和DTC提供证明其网络技术、通信技术和协议已更新的文档。未来的变更将由这两个组织根据“对外部威胁态势的评估、对我们技术基础设施和信息资产的威胁、行业网络安全优先事项、事件的根本原因分析以及第三方评估所表达的网络基础设施当前状态的评估”来决定。

这些举措代表着进一步的监管推动，以增强金融部门的网络安全保护，继SEC在今年早些时候提出的一系列监管改革之后，这些改革要求公开交易公司和投资公司报告过去或正在进行的黑客攻击，概述信息安全风险管理政策和程序，并详细说明高管和董事会成员的网络安全背景。

相关链接：SEC提案概述 过去或当前黑客攻击报告要求