德勤：网络安全和持续的环境威胁-共同基金董事的职责（2022）（16页）.pdf

1、共同基金董事论坛 网络安全和持续的环境威胁共同基金董事的职责2022年4月 共同基金董事论坛|网络安全和不断变化的环境威胁引言 1资产管理行业为何成为攻击目标？1董事会的网络安全监督职责 2投资顾问如何制定可持续的网络安全计划？5网络安全新兴领域 10总结 12目录1共同基金董事论坛|网络安全和不断变化的环境威胁引言共同基金董事必须采取行动应对网络犯罪数量和复杂程度不断上升的局面。此外，不断变化的监管环境加剧了网络安全监督方面的挑战。在这种情况下，基金公司必须尽力保护业务免受网络攻击带来的财务、品牌和监管影响。网络威胁可能会在以下方面对基金公司、投资顾问及其股东产生影响：财务：一起网络事件对组

2、织造成的平均损失超过100万美元，1其中包括收入损失、知识产权损失、罚款等。品牌：65%受数据泄露影响的客户会对违规组织丧失信任，而33%的客户会与违规组织中断合作。2 监管：监管机构正在加大执法力度，重点关注个人信息管理不当的问题。例如，对违反 通用数据保护条例3 的行为，罚款可能高达年收入的4%。因此，实施有效的网络安全监督和治理计划对于管理网络风险和环境威胁至关重要。共同基金面临的威胁日益增加随着共同基金愈发依赖技术来开展运营，其所面临的网络威胁急剧增加。例如，使用数字应用程序的销售渠道可能会遭受更多的分布式拒绝服务攻击和客户数据窃取事件。勒索软件和数据窃取风险（包括客户数据和知识产权）

3、在各类机构中普遍存在。这些威胁涉及以下方面：前台运营（包括投资策略、特定交易算法、智能投顾和投资组合管理）；中台运营（包括合规报告、支付与结算和风险模型）；后台运营（包括基金会计、报告、人力资源、财务、营销）。欺诈是另一种重大网络风险，可能由外部人员或恶意内部人员引发。例如，结算和财务系统以及财务部门使用的数据传输协议（包括SWIFT和FIX系统）可能遭到不当或不受监控的访问。在未制定相关控制措施的情况下，增加机器人流程自动化（RPA）、人工智能（AI）和机器学习（ML）技术的使用可能会进一步暴露公司的网络漏洞。此外，将业务外包给第三方、与数字化转型工作相关的云服务提供商以及新冠疫情催生的远程

4、工作模式也将扩大恶意行为者的攻击面。资产管理行业为何成为攻击目标？共同基金的结构提高了网络安全监督的复杂性。基金的主要职能和运营通常由第三方服务提供商负责，包括基金投资顾问和二级顾问、托管人、代销商、行政服务机构、过户代理人、会计师和帐户管理人。这些服务提供商都可能持有对网络犯罪分子具有吸引力的关键数据并且面临网络攻击的风险，从而在财务、品牌、声誉和监管等方面对投资顾问、基金公司及其股东造成巨大损失。基金公司和投资顾问应当持续评估其网络风险敞口并且建立识别、检测、应对网络事件以及恢复业务流程和基础设施的能力（即制定正式的网络安全计划并严格实施以应对不断增加的网络风险）。2共同基金董事论坛|网络

5、安全和不断变化的环境威胁董事会的网络安全监督职责基金董事不负责制定或监督网络安全计划，而是负责监督管理层和投资顾问开展的相关工作。尽管如此，董事会仍应保持警惕并就网络安全计划提出关键问题。基金董事（董事或董事会）可能发现，从风险监督的角度审视网络安全将会有所助益。董事需要了解和监督基金管理人员和投资顾问如何管理风险，包括网络安全计划、全面风险管理和对基金服务提供商的监督。全面风险监督框架的原则可以为董事会履行网络安全监督职责提供指导。基金董事必须依据州法规定履行职责，包括风险监督职责，以及其作为基金受托人的职责。作为受托人，董事对基金公司负有两项基本义务，即“勤勉义务”和“忠实义务”：勤勉义务

6、要求董事应根据其已掌握的专业知识及在担任董事期间获取的专业知识，谨慎行事。根据州法，董事通常可以合理求助专家，包括管理层、基金投资顾问、律师、会计师等。忠实义务通常是指董事应当保护基金的最大利益，并且不得将个人或第三方利益置于基金利益之上。忠实义务还包括诚信义务。法院通常根据“商业判断规则”评估针对董事的指控。在下列情况下，董事可以免于为其出于诚信作出的商业决策承担责任：1.董事与商业决策主体不存在利益关系（即不存在个人利益冲突）；2.董事依据充分信息作出商业决策；3.董事合理认为商业决策符合公司的最佳利益。美国特拉华州大法官法院（Delaware Court of Chancery）的Car