Finest Practices für Cybersicherheitssicherheit für die Verwaltung von Altersversorgungsplänen

Einführung

Die Employee Benefits Security Administration (EBSA) des US-Arbeitsministeriums (DOL) schätzt, dass 34 Millionen Teilnehmer an leistungsorientierten Plänen an privaten Pensionsplänen und 106 Millionen Teilnehmer an beitragsorientierten Plänen mit einem Gesamtvermögen von 9,3 Billionen US-Dollar teilnehmen. Die Teilnehmer greifen zunehmend auf ihre Plan-Konten zu und ergreifen Maßnahmen zu ihren Plan-Vorteilen über Online-Tools, die von Plan-Sponsoren und Dienstleistern zur Verfügung gestellt werden. Tatsächlich hat der DOL im Jahr 2020 Regeln verabschiedet, die die elektronische Zustellung und Offenlegung von Planinformationen fördern.[1] Daher sollte es nicht überraschen, dass Teilnehmerdaten und Planvermögen zunehmend zum Ziel von Cyberkriminellen werden.

Am 14. April gab die EBSA Leitlinien für Plan-Sponsoren, Plan-Treuhänder, Plan-Dienstleister und Plan-Teilnehmer zu Best Practices für die Aufrechterhaltung der Cybersicherheit und den Schutz des Altersvorsorgevermögens heraus (Leitlinien für 2021).[2] Die Leitlinien für 2021 sind die ersten formellen Leitlinien der EBSA zur Cybersicherheit und bauen auf einem im November 2016 veröffentlichten Bericht des ERISA-Beirats des DOL mit dem Titel „Überlegungen zur Cybersicherheit für Personalvorsorgepläne“ auf.[3] Die Leitlinien für 2021 konzentrieren sich nicht auf die Cybersicherheit des Plan-Sponsors oder des Plan-Treuhänders, sondern auf die Pflicht der Plan-Treuhänder für die Cybersicherheit der von den Plan-Treuhändern gehaltenen Plan-Dienstleister.

In den Leitlinien für 2021 wird bekräftigt, dass ERISA von Plan-Treuhändern verlangt, angemessene Vorsichtsmaßnahmen zu treffen, wenn Dienstleister beauftragt und gehalten werden, um die von Cyberkriminellen ausgehenden Risiken zu mindern und das Planvermögen zu schützen. In diesem Artikel werden wir:

  • einen kurzen Überblick über die Treuhandpflichten von ERISA geben, um den Kontext für die Leitlinien für 2021 festzulegen;
  • die Hauptmerkmale der Leitlinien für 2021 beschreiben; und
  • Veranschaulichen Sie die Realität des Cybersicherheitsrisikos für Altersvorsorgepläne, indem Sie einen aktuellen Fall mit Cybertheft des 401 (k) -Kontos eines Teilnehmers überprüfen.

ERISA Treuhandpflichten

ERISA verlangt von den Treuhändern des Pensionsplans, dass sie ihre Pflichten ausschließlich im Interesse der Plan-Teilnehmer und ihrer Begünstigten und ausschließlich zum Zweck der Bereitstellung ihrer Leistungen (dh der Treuepflicht) erfüllen. ERISA verlangt auch, dass Treuhänder ihre Verantwortung mit Vorsicht erfüllen (dh die Pflicht zur Vorsicht). Um den ERISA-Vorsichtsstandard zu erfüllen, muss der Treuhänder „mit der Sorgfalt, Sachkenntnis, Umsicht und Sorgfalt handeln, die unter den Umständen herrschen, die ein umsichtiger Mann, der in gleicher Eigenschaft handelt und mit solchen Angelegenheiten vertraut ist, anwenden würde. … “Wenn diese Pflichten verletzt werden, können ERISA-Treuhänder persönlich für die daraus resultierenden Planverluste haften und in extremen Fällen, in denen vorsätzliche Verstöße vorliegen, strafrechtlich haftbar gemacht werden.

Die Bedenken der ERISA in Bezug auf die Cybersicherheit konzentrieren sich im Allgemeinen auf die Sorgfaltspflicht, einschließlich der Pflicht zur Überwachung von Dienstleistern, die zur Unterstützung der Planverwaltung verpflichtet sind. Ob Verstöße gegen die Cybersicherheit, die sich auf ERISA-Pläne auswirken, Verstöße gegen Treuhandpflichten darstellen, hängt von den Tatsachen und Umständen des Verstoßes ab, wie im jüngsten unten erläuterten Fall dargestellt, einschließlich der Frage, ob der Treuhänder des Plans einen umsichtigen Prozess zur Einrichtung seiner Cybersicherheit angenommen und befolgt hat Richtlinien.

Neue DOL-Anleitung

Der Leitfaden für 2021 besteht aus drei Teilen und enthält „Tipps“ und „Best Practices“ für Plan-Sponsoren, Plan-Treuhänder, Plan-Dienstleister und Plan-Teilnehmer.

Der erste Teil der Leitlinien für 2021, Tipps zur Einstellung eines Dienstleisters mit strengen Cybersicherheitspraktiken, enthält lang erwartete Anleitungen für Planer von Sponsoren und Treuhändern, wie ein Dienstleister mit strengen Cybersicherheitspraktiken und -verfahren umsichtig ausgewählt werden kann. Die Anleitung enthält die folgenden Empfehlungen bei der Auswahl von Dienstanbietern:

  • Informieren Sie sich über die Informationssicherheitsstandards, -praktiken und -richtlinien des Dienstanbieters sowie über die Prüfungsergebnisse und vergleichen Sie diese mit den Industriestandards anderer Finanzinstitute.

  • Fragen Sie den Dienstanbieter, wie er seine Praktiken validiert und welche Sicherheitsstandards er erfüllt und implementiert hat. Suchen Sie nach Vertragsbestimmungen, die Ihnen das Recht geben, die Prüfungsergebnisse zu überprüfen, um die Einhaltung des Standards nachzuweisen.

  • Bewerten Sie die Erfolgsbilanz des Dienstleisters in der Branche, einschließlich öffentlicher Informationen zu Vorfällen im Bereich der Informationssicherheit, anderen Rechtsstreitigkeiten und Gerichtsverfahren im Zusammenhang mit den Diensten des Anbieters.

  • Fragen Sie, ob der Dienstanbieter in der Vergangenheit Sicherheitsverletzungen festgestellt hat, was passiert ist und wie der Dienstanbieter reagiert hat.

  • Finden Sie heraus, ob der Dienstanbieter über Versicherungspolicen zur Deckung von Verlusten aufgrund von Verstößen gegen Cybersicherheit und Identitätsdiebstahl verfügt (einschließlich Verstößen aufgrund interner Bedrohungen, wie z. B. Fehlverhalten der Mitarbeiter oder Auftragnehmer des Dienstleisters, und Verstößen aufgrund externer Bedrohungen, z. B. a Konten der Teilnehmer des Hijacking-Plans eines Drittanbieters).

  • Stellen Sie sicher, dass die Vereinbarung mit dem Dienstanbieter die fortlaufende Einhaltung der Standards für Cybersicherheit und Informationssicherheit erfordert – und achten Sie auf Vertragsbestimmungen, die die Verantwortung des Dienstanbieters für IT-Sicherheitsverletzungen einschränken.

PLANUNGSMÖGLICHKEITEN: Diese Liste sollte eine Checkliste für Plan-Sponsoren und Treuhänder bilden, wenn die von Plan-Protokollführern oder anderen Dienstleistern, die mit der Unterstützung eines Pensionsplans beauftragt sind, erbrachten Dienstleistungen ausgewählt und regelmäßig überprüft werden.

Die EBSA hat außerdem Best Practices für das Cybersicherheitsprogramm herausgegeben, um Leitlinien für die Planung von Treuhändern, Protokollführern und anderen Dienstleistern hinsichtlich ihrer Verantwortung für das Management von Cybersicherheitsrisiken bereitzustellen. Zu den Best Practices gehören:

  • Aufrechterhaltung eines formellen, gut dokumentierten Cybersicherheitsprogramms.

  • Durchführung umsichtiger jährlicher Risikobewertungen.

  • Zuverlässige jährliche Prüfung der Sicherheitskontrollen durch Dritte.

  • Klare Definition und Zuweisung von Rollen und Verantwortlichkeiten für die Informationssicherheit.

  • Starke Zugangskontrollverfahren.

  • Sicherstellen, dass alle in einer Cloud gespeicherten oder von einem Drittanbieter verwalteten Assets oder Daten angemessenen Sicherheitsüberprüfungen und unabhängigen Sicherheitsbewertungen unterzogen werden.

  • Durchführung regelmäßiger Schulungen zur Sensibilisierung für Cybersicherheit.

  • Implementierung und Verwaltung eines SDLC-Programms (Secure System Development Life Cycle).

  • Ein effektives Programm zur Ausfallsicherheit von Unternehmen, das sich mit Geschäftskontinuität, Notfallwiederherstellung und Reaktion auf Vorfälle befasst.

  • Verschlüsselung sensibler Daten, gespeichert und unterwegs.

  • Implementierung strenger technischer Kontrollen gemäß den besten Sicherheitspraktiken.

  • Reagieren Sie angemessen auf frühere Cybersicherheitsvorfälle.

PLANUNGSMÖGLICHKEITEN: Wenn dies noch nicht geschehen ist, sollten Plan-Sponsoren mit ihrem internen Technologie-Sicherheitsteam zusammenarbeiten, um Cybersicherheitspraktiken und Schulungen im Zusammenhang mit der Verwaltung von Altersversorgungsplänen zu überprüfen und zu berücksichtigen.

Selbst die besten Richtlinien und Verfahren können vereitelt werden, wenn die Plan-Teilnehmer nicht ausreichend über die neuesten Sicherheitsprotokolle informiert sind. In Anerkennung der Risikoplan-Teilnehmer, die erstellt werden können, hat die EBSA auch Online-Sicherheitstipps für Plan-Teilnehmer herausgegeben, die die folgenden Tipps enthalten:

  • Registrieren, Einrichten und routinemäßige Überwachung von Online-Konten.

  • Verwenden Sie sichere und eindeutige Passwörter.

  • Verwenden Sie die Multifaktorauthentifizierung.

  • Halten Sie Ihre persönlichen Kontaktinformationen auf dem neuesten Stand.

  • Nicht verwendete Konten schließen oder löschen.

  • Vermeiden Sie die Verwendung von kostenlosem WLAN.

  • Vorsicht vor Phishing-Angriffen.

  • Verwenden Sie Antivirensoftware und halten Sie Apps und Software auf dem neuesten Stand.

PLANUNGSMÖGLICHKEITEN: Wenn dies noch nicht geschehen ist, sollten Plan-Sponsoren eine Cybersicherheitsschulung für Mitarbeiter in Betracht ziehen, um die Sicherheitspraktiken im Zusammenhang mit der Teilnahme an Altersversorgungsplänen ausdrücklich abzudecken und um zu verstehen, ob Drittanbieter auch Cybersicherheitsschulungen für Teilnehmer anbieten.

Aktuelle Rechtsprechung zur Cybersicherheit: Darstellung realer Cybersicherheitsrisiken

Ein aktueller Fall des US-Bezirksgerichts veranschaulicht die tatsächlichen Auswirkungen von Cybersicherheitsrisiken auf Altersversorgungspläne und zeigt, wie Gerichte beginnen, ERISA-Treuhandprobleme im Zusammenhang mit Verstößen gegen die Cybersicherheit anzugehen. Dieser Fall unterstreicht die Bedeutung der Aufrechterhaltung solider Cybersicherheits- und Datenschutzpraktiken, wie in den Leitlinien für 2021 beschrieben.

In Bartnett v. Abbott Laboratories et al.[4]Der Kläger, ein pensionierter ehemaliger Mitarbeiter von Abbott Laboratories (Abbott Labs) und ein 401 (k) -Teilnehmer, verklagte Abbott Labs, einen Beauftragten von Abbott Labs, der als Treuhänder und Administrator des Plans fungierte, und Alight Solutions LLC (Alight) diente als Protokollführer und Administrator des Plans für die Website des Plans wegen angeblicher Verstöße gegen ihre Treuhandpflichten im Rahmen von ERISA, weil der Cybertheft des 401 (k) -Plan-Kontos des Teilnehmers nicht verhindert wurde.

Das Folgende fasst die Tatsachen zusammen, die die Klägerin in ihrer Beschwerde behauptet hat, wie sie das Gericht in seiner Stellungnahme beschrieben hat. Ein Cyberkrimineller hat offenbar über die Website des Plans auf das 401 (k) -Plan-Konto des Klägers zugegriffen und Direkteinzahlungsinformationen für ein anderes Bankkonto hinzugefügt. Einige Tage später rief die Diebin, die sich als Klägerin ausgab, die Kundendienst-Telefonleitung des Plans an und teilte der Kundendienstmitarbeiterin mit, dass sie versucht habe, eine Online-Verteilung zu bearbeiten, dies jedoch nicht erfolgreich gewesen sei. Sowohl die Website als auch die Telefonleitung des Kundendienstes wurden von Alight betrieben. Der Servicemitarbeiter antwortete, indem er eine Privatadresse vorlas und die Dieb fragte, ob sie noch dort wohne. Der Servicemitarbeiter teilte dem Dieb mit, dass das neue Konto sieben Tage lang gespeichert sein muss, bevor Geld aus dem Plan überwiesen werden kann. Nach der erforderlichen Wartezeit rief der Kriminelle den Servicemitarbeiter erneut an, um die Überweisung von 245.000 USD vom Plan-Konto des Klägers auf das neue Konto zu beantragen. Der Servicemitarbeiter gab nach, ohne Sicherheitsfragen zu stellen. Einen Tag nach der Überweisung sandte Alight einen Brief an die Klägerin, in dem sie über die Überweisung informiert wurde. Als der Kläger das Schreiben erhielt, war das Geld bereits erfolgreich auf das neue Konto überwiesen worden. Bis Februar 2021 hatte der Kläger nur etwa 108.000 US-Dollar von den gestohlenen 245.000 US-Dollar zurückerhalten. Der Kläger reichte daraufhin Klage ein, und die Angeklagten reichten einen Antrag auf Abweisung ein.

Am 20. Oktober 2020 wies das Bartnett-Gericht die Ansprüche gegen Abbott Labs zurück und stellte fest, dass „in der Beschwerde keine von Abbott Labs ergriffenen Treuhandhandlungen geltend gemacht werden, sondern dass sie nicht weniger mit dem mutmaßlichen Diebstahl in Verbindung gebracht werden“. Das Gericht wies auch die Vorwürfe gegen den Beamten des Abbott Labs, der aus ähnlichen Gründen als Planverwalter fungierte, zurück. Das Gericht stellte fest, dass der Diebstahl über die Website des Plans erfolgte, die von Alight betrieben wurde, nicht von Abbott Labs oder dem als Planverwalter fungierenden Beamten. Das Gericht stellte fest, dass in der Beschwerde keine Fakten angeführt wurden, die spezifisch genug waren, um zu zeigen, dass Abbott Labs die Cybersicherheitsleistung von Alight in Bezug auf die Website des Plans nicht überwacht hatte. Während in der Beschwerde behauptet wurde, Alight habe andere Cybersicherheitsvorfälle erlebt, die Abbott Labs hätte berücksichtigen müssen, bezog sich keiner auf den Plan von Abbott Labs, und die meisten ereigneten sich, nachdem Abbott Labs beschlossen hatte, Alight zu engagieren.

Das Gericht lehnte jedoch den Antrag von Alight auf Entlassung ab. Das Gericht begründete dies damit, dass die Beschwerde hinreichende sachliche Behauptungen enthielt, „um darauf zu schließen, dass Alight als Treuhänder fungierte, indem es eine diskretionäre Kontrolle oder Autorität über das Vermögen des Plans ausübte“, indem es das Callcenter und die Website des Plans betrieb, die die Verteilung verwalten, und dass die Ereignisse dazu führten Der Diebstahl des Kontos des Klägers erfolgte aufgrund eines Verstoßes von Alight gegen seine Pflichten beim Betrieb der Website und des Callcenters.

Obwohl der Kläger nicht genügend Fakten nachweisen konnte, um eine Klage gegen Abbott Labs oder seinen als Planverwalter tätigen Beamten zu erheben, unterstreicht der Fall zweifellos die Bedeutung von Plan-Sponsoren und benannten Treuhändern, die die Cybersicherheitspraktiken und -verfahren Dritter untersuchen und überwachen Dienstleister planen.

Fazit

In Anbetracht der Leitlinien für 2021 sollten Plan-Treuhänder und Plan-Dienstleister nachdrücklich erwägen, ihre Cybersicherheitsrichtlinien und -prozesse zu überprüfen, um sicherzustellen, dass diese Richtlinien und Prozesse den Leitlinien entsprechen. Für Plan-Treuhänder ist die Überprüfung der Cybersicherheitsprozesse und -richtlinien von Dienstanbietern kein einmaliges Ereignis. Die ERISA-Sorgfaltspflicht erfordert nicht nur, dass ein Plan-Treuhänder bei der Auswahl eines Plan-Dienstleisters ein umsichtiges Verfahren anwendet, sondern dass der Treuhänder den Dienstleister weiterhin überwacht. Die Leitlinien für 2021 enthalten nützliche Schritte und Fragen, die bei der Durchführung einer solchen Überprüfung zu berücksichtigen sind.

Comments are closed.