网络安全和持续的环境威胁

共同基金面临的威胁日益增加

随着共同基金愈发依赖技术来开展运营，其所面临的网络威胁急剧增加。例如，使用数字应用程序的销售渠道可能会遭受更多的分布式拒绝服务（DDoS）攻击和客户数据窃取事件。勒索软件和数据窃取风险（包括客户数据和知识产权）在各类机构中普遍存在。这些威胁涉及以下方面：

• 前台运营（包括投资策略、特定交易算法、智能投顾和投资组合管理）；
• 中台运营（包括合规报告、支付与结算和风险模型）；
• 后台运营（包括基金会计、报告、人力资源、财务、营销）。

欺诈是另一种重大网络风险，可能由外部人员或恶意内部人员引发。例如，结算和财务系统以及财务部门使用的数据传输协议（包括SWIFT和FIX系统）可能遭到不当或不受监控的访问。

在未制定相关控制措施的情况下，增加机器人流程自动化（RPA）、人工智能（AI）和机器学习（ML）技术的使用可能会进一步暴露公司的网络安全漏洞。此外，将业务外包给第三方、与数字化转型工作相关的云服务提供商以及新冠疫情催生的远程办公模式也将扩大恶意行为者的攻击面。

制定可持续的网络安全计划

基金董事不负责制定或监督网络安全计划，而是负责监督管理层和投资顾问开展的相关工作。尽管如此，董事会仍应保持警惕并就网络安全计划提出关键问题。

投资顾问和其他主要服务提供商可以根据各种框架制定网络安全计划。虽然深入了解此等计划不属于董事的职责范围，但是可以帮助董事会履行监督职责并确定关键问题。

国际注册专业会计师协会（AICPA, The Association of International Certified Professional Accountants）提出的框架可以帮助基金公司预防、检测和缓解网络安全事件，也可以为董事会履行监督职责和了解相关信息提供指导。该框架包括以下五个步骤： 

• 确定需要保护的对象；
• 评估并划分职责；
• 建立风险管理流程；
• 采取应对措施；
• 不断总结经验。

网络安全新兴领域

受市场需求和新冠疫情影响，大多数投资顾问和共同基金管理公司正在开展广泛而深刻的业务和数字化转型。董事会应了解转型工作的潜在网络安全影响以及投资顾问和主要服务提供商管理相关风险的方式。一些关键转型工作的网络安全影响有：

• 自动化的便利性是否会带来更大风险？
• 云服务的安全性如何？
• 远程工作带来虚拟环境风险