กฎ DOL สำหรับความปลอดภัยทางไซเบอร์ 401(k) คืออะไร
การรักษาบัญชีทางการเงินให้ปลอดภัยจากการโจมตีทางไซเบอร์มีความสำคัญมากขึ้นกว่าเดิมเนื่องจากอาชญากรรมทางอินเทอร์เน็ตยังคงเพิ่มขึ้นอย่างต่อเนื่อง สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกาประมาณการว่าอาชญากรรมในโลกไซเบอร์ทำให้เหยื่อต้องเสียเงิน 6.9 พันล้านดอลลาร์ในปี 2564
ถ้าคุณมี 401(ฎ) หรืออย่างอื่น แผนที่ครอบคลุมโดยพระราชบัญญัติหลักประกันรายได้เพื่อการเกษียณอายุของพนักงาน (ERISA)คุณอาจสงสัยว่าบัญชีเหล่านั้นปลอดภัยหรือไม่ ในปี 2021 สหรัฐอเมริกา กรมแรงงาน (DOL) ออกแนวทางความปลอดภัยทางไซเบอร์ใหม่ที่ออกแบบมาเพื่อปกป้องผู้สนับสนุนแผนและผู้เข้าร่วมจากการโจมตีทางไซเบอร์
ประเด็นที่สำคัญ
- อาชญากรรมทางอินเทอร์เน็ตทำให้เหยื่อต้องเสียเงิน 6.9 พันล้านดอลลาร์ในปี 2564 ตามข้อมูลของ FBI
- แม้ว่าจะตกเป็นเป้าหมายของการโจมตีทางไซเบอร์ไม่บ่อยนัก แต่แผน 401(k) และบัญชีการเกษียณอายุอื่นๆ อาจยังคงเสี่ยงต่อการฉ้อโกงหรือการแฮ็ก
- กระทรวงแรงงานได้จัดทำแนวทางปฏิบัติเกี่ยวกับอาชญากรรมในโลกไซเบอร์ใหม่ในปี 2021 สำหรับผู้สนับสนุนแผน ผู้ได้รับความไว้วางใจ ผู้เก็บบันทึก และผู้เข้าร่วมแผน
- หากคุณมีแผน 401(k) อยู่แล้ว มีหลายสิ่งที่คุณสามารถทำได้เพื่อปกป้องตนเองจากอาชญากรไซเบอร์
ทำความเข้าใจ 401(k) การฉ้อโกงและอาชญากรรมทางไซเบอร์
อาชญากรรมทางไซเบอร์เป็นสิ่งที่หลายคนอาจคิดว่าเชื่อมโยงกับบัญชีธนาคารหรือบัตรเครดิตโดยเฉพาะ ตัวอย่างเช่น รายงานการแฮ็กที่มีชื่อเสียงจำนวนมากในช่วงไม่กี่ปีที่ผ่านมาเกี่ยวข้องกับการขโมยข้อมูลบัตรเดบิตและบัตรเครดิตจากระบบจุดขายของผู้ค้าปลีก อาชญากรรมไซเบอร์ประเภทอื่นๆ ที่พบบ่อยเกี่ยวข้องกับอีเมลหรือข้อความ ฟิชชิ่ง การหลอกลวงและการโจมตีของมัลแวร์ที่ออกแบบมาเพื่อขโมยข้อมูลการเข้าสู่ระบบธนาคารออนไลน์หรือบนมือถือ
อย่างไรก็ตาม บัญชีการเกษียณอายุ รวมถึงแผน 401(k) จะไม่รอดพ้นจากการถูกกำหนดเป้าหมาย ผู้ฉ้อโกงสามารถใช้กลวิธีที่หลากหลายเพื่อกำหนดเป้าหมายแผนสถานที่ทำงาน และทำให้เงินออมเพื่อการเกษียณอายุของพนักงานหมดไป หนึ่งในเรื่องที่พบบ่อยที่สุด ประเภทของการฉ้อโกง เกี่ยวข้องกับการครอบครองบัญชี นี่คือวิธีการทำงาน:
- อาชญากรไซเบอร์สามารถเข้าถึงข้อมูลการเข้าสู่ระบบแผน 401(k) ของแต่ละบุคคล ไม่ว่าจะผ่านการหลอกลวงแบบฟิชชิ่ง การโจมตีด้วยมัลแวร์ หรือทั้งสองอย่างรวมกัน
- พวกเขาใช้ข้อมูลดังกล่าวเพื่อเข้าสู่ระบบแผน 401(k) ของพนักงาน และเปลี่ยนแปลงรายละเอียดบางอย่างของบัญชี เช่น หมายเลขโทรศัพท์และที่อยู่ติดต่อ หรือรหัสผ่านเข้าสู่ระบบ
- สมมติว่าการเปลี่ยนแปลงเหล่านั้นไม่มีใครสังเกตเห็น ผู้ฉ้อโกงสามารถเริ่มการโอนเงินจาก 401(k) ไปยังบัญชีที่เชื่อมโยงภายนอก หรือส่งเช็คทางไปรษณีย์ไปยังที่อยู่ที่อัปเดต
การฉ้อโกงการครอบครองบัญชียังสามารถเกิดขึ้นได้กับบัญชีประเภทอื่น ๆ เช่น บัญชีเกษียณส่วนบุคคล (IRA)บัญชีนายหน้าที่ต้องเสียภาษี และบัญชีธนาคาร
สำคัญ
แม้ว่าบัญชีธนาคารและบัตรเครดิตจะได้รับความคุ้มครองจากการฉ้อโกงของรัฐบาลกลาง แต่โดยทั่วไปแล้วจะไม่ครอบคลุมถึงแผน 401(k) และบัญชีการเกษียณอายุอื่นๆ
คำแนะนำด้านความปลอดภัยทางไซเบอร์ DOL 401(k)
ในปี 2021 กรมแรงงานได้ออกแนวปฏิบัติใหม่ ช่วยปกป้องแผน 401(k) และแผนการเกษียณอายุอื่นๆ ที่อยู่ภายใต้การควบคุมของ ERISA เพื่อต่อต้านการฉ้อโกงทางไซเบอร์ คำแนะนำนี้ออกแบบมาเพื่อช่วยเหลือผู้สนับสนุนแผน ผู้ได้รับความไว้วางใจ ผู้เก็บบันทึก และผู้เข้าร่วมแผนในการปกป้องแผน 401(k) จากการโจรกรรมข้อมูลส่วนบุคคลและอาชญากรรมไซเบอร์ประเภทอื่นๆ คำแนะนำมุ่งเน้นไปที่สามด้านที่เฉพาะเจาะจง: เคล็ดลับในการจ้างผู้ให้บริการ แนวทางปฏิบัติที่ดีที่สุดของโปรแกรมความปลอดภัยทางไซเบอร์ และความปลอดภัยออนไลน์
คำแนะนำสำหรับผู้สนับสนุนแผน
กฎ DOL ใหม่สนับสนุน ผู้สนับสนุนแผน เพื่อทำงานร่วมกับผู้ให้บริการที่ปฏิบัติตามหลักปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง โดยเฉพาะอย่างยิ่ง DOL แนะนำว่าผู้สนับสนุนแผนดำเนินการดังต่อไปนี้เมื่อทำการคัดเลือกผู้ให้บริการ:
- ถามเกี่ยวกับมาตรฐาน แนวปฏิบัติ และนโยบายการรักษาความปลอดภัยของข้อมูลของผู้ให้บริการ แล้วเปรียบเทียบกับมาตรฐานอุตสาหกรรมที่สถาบันการเงินอื่นๆ ใช้
- มองหาผู้ให้บริการที่ปฏิบัติตามมาตรฐานที่เป็นที่ยอมรับในเรื่องความปลอดภัยของข้อมูล
- ถามผู้ให้บริการว่าตรวจสอบแนวทางปฏิบัติของตนอย่างไร และมีการใช้มาตรฐานความปลอดภัยในระดับใด
- ประเมินประวัติของผู้ให้บริการในอุตสาหกรรม และถามเกี่ยวกับการละเมิดความปลอดภัยในอดีตที่ผู้ให้บริการอาจประสบ
- ศึกษาว่าผู้ให้บริการมีกรมธรรม์ประกันภัยที่ครอบคลุมการสูญเสียความปลอดภัยทางไซเบอร์หรือไม่ รวมถึงสถานการณ์ที่บัญชีของผู้เข้าร่วมแผนถูกแฮ็ก
- ตรวจสอบให้แน่ใจว่าสัญญาใดๆ กับผู้ให้บริการจำเป็นต้องปฏิบัติตามมาตรฐานความปลอดภัยทางไซเบอร์และความปลอดภัยข้อมูลอย่างต่อเนื่อง
ผู้สนับสนุนแผนของคุณอาจสามารถให้ข้อมูลเกี่ยวกับมาตรการรักษาความปลอดภัยทางไซเบอร์ที่นำไปใช้เมื่อมีการร้องขอ
คำแนะนำสำหรับผู้ไว้วางใจและผู้รักษาบันทึก
ภายใต้กฎของ DOL แผน 401(k) ผู้ไว้วางใจ และผู้เก็บบันทึกยังต้องรับผิดชอบในการตรวจสอบให้แน่ใจว่าพวกเขากำลังทำหน้าที่ในส่วนของตนเพื่อลดความเสี่ยงด้านความปลอดภัยทางไซเบอร์ รายการแนวทางปฏิบัติที่ดีที่สุดที่แนะนำมีดังต่อไปนี้:
- มีโปรแกรมความปลอดภัยทางไซเบอร์ที่เป็นทางการและมีเอกสารครบถ้วน
- ดำเนินการประเมินความเสี่ยงประจำปีอย่างรอบคอบ
- กำหนดเวลาการตรวจสอบการควบคุมความปลอดภัยโดยบุคคลที่สามเป็นประจำทุกปี
- กำหนดและมอบหมายบทบาทและความรับผิดชอบด้านความปลอดภัยข้อมูลอย่างชัดเจน
- วางขั้นตอนการควบคุมการเข้าถึงที่เข้มงวด
- ตรวจสอบให้แน่ใจว่าสินทรัพย์หรือข้อมูลที่จัดเก็บไว้ในคลาวด์หรือจัดการโดยผู้ให้บริการบุคคลที่สามนั้นอยู่ภายใต้การตรวจสอบและการประเมินความปลอดภัยที่เหมาะสม
- ดำเนินการฝึกอบรมการรับรู้ด้านความปลอดภัยทางไซเบอร์เป็นระยะ
- ใช้งานและจัดการโปรแกรมวงจรการพัฒนาระบบที่ปลอดภัย (SDLC)
- สร้างโปรแกรมความยืดหยุ่นทางธุรกิจที่มีประสิทธิภาพซึ่งจัดการกับความต่อเนื่องทางธุรกิจ การกู้คืนความเสียหาย และการตอบสนองต่อเหตุการณ์
- เข้ารหัสข้อมูลที่ละเอียดอ่อนตลอดเวลา
- ใช้การควบคุมทางเทคนิคที่เข้มงวดโดยสอดคล้องกับแนวปฏิบัติด้านความปลอดภัยที่ดีที่สุด
- ตอบสนองอย่างเหมาะสมต่อเหตุการณ์ความปลอดภัยทางไซเบอร์ในอดีต
คำแนะนำสำหรับผู้เข้าร่วมแผน
DOL ยังเสนอเคล็ดลับสำหรับผู้เข้าร่วมแผน 401(k) เพื่อช่วยให้พวกเขาทำหน้าที่ในการรักษาบัญชีของตนให้ปลอดภัย เคล็ดลับเหล่านี้หลายข้อเป็นกลยุทธ์เดียวกับที่ได้รับการสนับสนุนให้ปกป้อง ธนาคารออนไลน์ ข้อมูล. นี่คือสิ่งที่ DOL แนะนำ:
- ตรวจสอบบัญชีของคุณเป็นประจำ มองหากิจกรรมหรือธุรกรรมที่ผิดปกติที่คุณไม่รู้จัก
- ใช้รหัสผ่านที่รัดกุมและไม่ซ้ำกันเพื่อเข้าสู่บัญชีการเกษียณอายุและอัปเดตเป็นประจำ
- ตั้งค่าการรับรองความถูกต้องแบบหลายปัจจัยหากผู้สนับสนุนแผนหรือผู้ให้บริการของคุณเสนอให้
- เก็บข้อมูลติดต่อส่วนบุคคลที่ระบุไว้สำหรับบัญชีของคุณให้เป็นปัจจุบัน
- ปิดหรือลบบัญชีการเงินที่ไม่ได้ใช้
- หลีกเลี่ยงการใช้ Wi-Fi สาธารณะเพื่อเข้าถึงบัญชีทางการเงิน
- ระวังการหลอกลวงแบบฟิชชิ่ง
- ใช้ซอฟต์แวร์ป้องกันไวรัสเพื่อปกป้องอุปกรณ์ของคุณและอัปเดตเป็นประจำ
เคล็ดลับ
หากคุณเชื่อว่ามีการละเมิด 401(k) ของคุณ โปรดติดต่อผู้สนับสนุนแผนของคุณโดยเร็วที่สุดเพื่อรายงาน คุณยังสามารถรายงานอาชญากรรมทางไซเบอร์ไปยัง FBI และ Cybersecurity & Infrastructure Security Agency (CISA) ได้อีกด้วย
401(k) สามารถถูกแฮ็กได้หรือไม่?
เอ 401(เค) สามารถแฮ็กได้ หากมีใครสามารถเข้าถึงข้อมูลการเข้าสู่ระบบบัญชีของคุณ รวมถึง ID ผู้ใช้และรหัสผ่านของคุณ แฮกเกอร์สามารถใช้วิธีการที่เรียกว่าการครอบครองบัญชีเพื่อดูดเงินจากแผน 401(k) ของใครบางคนได้เช่นเดียวกับที่ทำกับบัญชีธนาคาร
จะเกิดอะไรขึ้นถ้า 401 (k) ของคุณถูกขโมย?
หากคุณเชื่อว่ามีคนถอนเงินจากแผนการเกษียณอายุ 401 (k) ของคุณหรือในที่ทำงานที่คล้ายกันโดยฉ้อฉล ขั้นตอนแรกคือติดต่อผู้สนับสนุนแผนของคุณ พวกเขาควรจะสามารถให้คำแนะนำคุณเกี่ยวกับสิ่งที่ต้องทำต่อไป ซึ่งอาจเกี่ยวข้องกับการรายงานการฉ้อโกงต่อหน่วยงานรัฐบาลกลางที่เหมาะสม ไม่ว่าคุณจะสามารถกู้คืนเงินทุน 401(k) ที่ถูกขโมยไปได้หรือไม่นั้น ขึ้นอยู่กับนโยบายของผู้สนับสนุนแผนในการจัดการกับอาชญากรรมทางไซเบอร์
ฉันจะรักษาความปลอดภัย 401(k) ของฉันได้อย่างไร?
วิธีที่ดีที่สุดบางส่วนในการรักษาความปลอดภัยให้กับบัญชี 401(k) ของคุณ ได้แก่ การใช้รหัสผ่านที่ไม่ซ้ำกัน ไม่เปิดเผยข้อมูลการเข้าสู่ระบบของคุณ ข้อมูลกับใครก็ตามที่คุณไม่รู้จัก และหลีกเลี่ยงการใช้ Wi-Fi สาธารณะเมื่อเข้าถึงบัญชีของคุณ ออนไลน์ คุณยังสามารถตั้งค่าการแจ้งเตือนเพื่อแจ้งให้คุณทราบถึงกิจกรรมใหม่หรือการเปลี่ยนแปลงในบัญชีของคุณและ เรียนรู้วิธีระบุกลโกงฟิชชิ่งที่อาจเกิดขึ้น ที่อาจเข้าสู่กล่องจดหมายอีเมลของคุณ
บรรทัดล่าง
คุณทำงานอย่างหนักเพื่อบริจาคเงินให้กับ 401(k) ของคุณเพื่อการเกษียณ และสิ่งสุดท้ายที่คุณต้องการคือให้อาชญากรไซเบอร์ขโมยมันไป ความจริงอันโชคร้ายก็คือ แผน 401(k) และแผนการเกษียณอายุในที่ทำงานอื่นๆ อาจเสี่ยงต่อการโจมตีทางไซเบอร์พอๆ กับบัญชีทางการเงินประเภทอื่นๆ คำแนะนำด้านความปลอดภัยทางไซเบอร์ 401(k) ใหม่ของ DOL ถือเป็นก้าวหนึ่งในทิศทางที่ถูกต้องในการปกป้องบัญชีเหล่านี้ ความขยันหมั่นเพียรและการตรวจสอบบัญชีของคุณอย่างสม่ำเสมอสามารถช่วยให้เงินออมเพื่อการเกษียณของคุณมีความปลอดภัย
