家族办公室如何应对网络欺诈威胁？

本文简要概述了家族办公室可能遇到的常见网络安全威胁，以及家族办公室应考虑采取的最佳做法以防止此类威胁。目前持续的新冠疫情已经极大地改变了许多家族办公室的工作模式，从而提高了员工使用IT基础架构进行沟通和分析并完成交易的能力。此外，正如联邦贸易委员会（Federal Trade Commission）和其他机构所报道的那样，网络犯罪分子似乎比以往任何时候都更加活跃，并通过各种骗局利用疫情来窃取企业和个人的金钱与信息。因此，对于不同规模的家庭办公室来说，这是一个评估其预防、检测和补救网络安全攻击的计划和能力的好时机。

请注意，本文无意对网络安全威胁和最佳实践进行全面概述。请咨询您的网络安全服务提供商或法律顾问以获取更多信息。

常见的网络安全威胁

1. 商业电子邮件泄露

所有行业中最常见的攻击类型涉及商业电子邮件泄露（“ BEC”）。 BEC事件通常通过诱使个人点击恶意链接、打开恶意文档，以其他方式诱骗该人披露其登录公司系统（例如电子邮件系统）的凭据，获取邮件登录信息。一旦攻击者成功获得对公司电子邮件帐户的访问权限，就会发生各种潜在的危害，例如数据盗窃、欺诈性电汇、伪造的电话通知和勒索软件等。

2、目标对象

网络攻击者经常访问财务和会计人员以及执行助理，因为他们可以访问关键系统和信息。例如，攻击者可能冒充高级主管发电子邮件给财务和会计人员来发起电汇。或者，攻击者可能将钓鱼策略指向助手，以窃取有关高级管理人员的宝贵信息，或使用助手的电子邮件帐户指导其他员工代表高级管理层执行电汇。

3、资金流向转移

在过去的一年中，我们发现与投资交易中资金流向相关的网络安全攻击呈上升趋势。例如，一些攻击者在即将完成交易之前就试图用自己的银行帐户信息代替投资目标的帐户信息。在其他情况下，攻击者试图在启动过程中从目标客户的资金中转移资金。

预防或缓解网络安全威胁的最佳做法

技术操作措施

1、双重认证

家庭办公室防止BEC事件的一种方法，是要求员工使用双重认证来登录家庭办公室系统，包括电子邮件。双重认证要求个人输入两条信息才能登录系统。最常用的“因素”是密码，然后是发送到个人电话的密码。尽管有些人认为双重认证很麻烦，但是该过程作为网络安全防御的标准组成部分正在迅速受到关注，因为它可以防止各种常见的网络安全攻击。在过去的一年中，我们的一些客户推迟了实施双重身份验证的过程，只是在遇到网络攻击后才迅速实施。

2、备份IT系统

家族办公室应考虑定期备份其IT系统和重要资产。备份完成后，应以无法从家族办公室的操作或生产环境访问它们的方式进行存储。采取这些措施可以使家族办公室将攻击造成的潜在损失降至最低。

3、保护基于云的服务

使用基于云的服务（例如文件存储服务）可以帮助快速有效地开展业务。但是，基于云的服务代表了可以访问或窃取家族办公室的敏感数据的另一条途径。因此，家族办公室不能仅仅依靠云提供商来确保家族办公室数据的安全性。相反，家族办公室必须确保正确配置了基于云的服务的安全设置。

4、与第三方供应商和新联系人进行交互

家族办公室在与新的第三方供应商和其他联系人进行交互时应格外小心，并应通过可信任的方式验证这些交易对手的身份，特别是在涉及资金流动的交易中。此外，家族办公室还应勤勉交易对方，以确保此类人员拥有适当的数据保护系统和程序。

制定网络安全计划

1、突发事件响应计划

如果发生网络安全事件，家族办公室需要做好有效应对突发事件的准备，其中包括以最小的影响恢复业务运营，并向投资者、员工和其他各方证明事件已得到妥善解决。建立事件响应计划，概述发生网络安全攻击时应采取的步骤，可以帮助家族办公室实现这些目标。制定有效的事件响应计划的关键步骤，是确定外部“第一响应者”，其中包括法律顾问、法医IT专家和公司的保险公司（如果适用）。此外，作为注册投资顾问的家族办公室，在制定事件响应计划时也应考虑SEC的网络安全指南。

2、培训

减轻网络安全风险的另一个关键步骤是对人员进行预防、识别和升级网络攻击方面的培训。例如，家族办公室应培训员工如何识别网络钓鱼电子邮件以及恶意链接和文档。家族办公室应考虑一系列培训选项，例如现场培训（即教室设置）、在线培训和网络钓鱼电子邮件测试。
在这种测试中，组织会向员工发送伪造的网络钓鱼电子邮件，以评估员工的反应。特别是，在打开电子邮件或通过电子邮件接收财务指示时，应培训财务和会计人员以及执行助理如何应对，例如对财务指示进行电话或亲自核实可以防止家族办公室遭受损失。

3、保险

家族办公室应考虑购买网络安全保险，该保险涵盖了应对网络安全攻击的费用，包括调查攻击的费用（包括律师和法务IT公司的费用），IT环境的补救费用以及网络安全攻击所引起的诉讼或索赔引起的责任。家族办公室还应考虑现有的保险政策（例如财产或业务中断政策）是否涵盖网络安全事件。家族办公室应该意识到，如果不遵循网络安全保险政策的特定程序来通知运营商，则可能无法覆盖某些本来可以收回的费用，例如法律顾问或法医IT专家的费用。