401(k) Siber Güvenlik için DOL Kuralları Nelerdir?
İçindekiler
İnternet suçları artmaya devam ettikçe, finansal hesapları siber saldırılardan korumak her zamankinden daha önemli hale geldi. Federal Soruşturma Bürosu, siber suçun kurbanlarına 2021’de 6,9 milyar dolara mal olduğunu tahmin ediyor.
Çalışan Emeklilik Gelir Güvenliği Yasası (ERISA) kapsamında bir 401 (k) veya başka bir planınız varsa, bu hesapların güvenli olup olmadığını merak ediyor olabilirsiniz. 2021’de ABD Çalışma Bakanlığı (DOL), plan sponsorlarını ve katılımcılarını siber saldırılardan korumak için tasarlanmış yeni bir siber güvenlik kılavuzu yayınladı.
Önemli Çıkarımlar
- FBI verilerine göre internet suçları 2021’de kurbanlarına 6,9 milyar dolara mal oldu.
- 401(k) planları ve diğer emeklilik hesapları, siber suç saldırılarının hedefi olma olasılığı daha düşük olsa da, dolandırıcılık veya bilgisayar korsanlığına açık olabilir.
- Çalışma Bakanlığı, 2021’de plan sponsorları, mütevelli heyetleri, kayıt tutanlar ve plan katılımcıları için yeni siber suç rehberi oluşturdu.
- İş yerinde 401(k) planınız varsa, kendinizi siber suçlulara karşı korumak için yapabileceğiniz birkaç şey vardır.
401(k) Dolandırıcılığı ve Siber Suçu Anlama
Siber suç, birçok insanın yalnızca banka veya kredi kartı hesaplarıyla bağlantılı olarak düşünebileceği bir şeydir. Örneğin, son yıllarda birçok yüksek profilli bilgisayar korsanlığı raporu, perakendecilerin satış noktası sistemlerinden banka ve kredi kartı bilgilerinin çalınmasını içeriyor. Diğer yaygın siber suç türleri, e-posta veya metin kimlik avı dolandırıcılıklarını ve çevrimiçi veya mobil bankacılık oturum açma bilgilerini çalmak için tasarlanmış kötü amaçlı yazılım saldırılarını içerir.
Bununla birlikte, 401(k) planları dahil olmak üzere emeklilik hesapları hedeflenmekten muaf değildir. Dolandırıcılar, işyeri planlarını hedeflemek ve çalışanların emeklilik tasarruflarını tüketmek için çeşitli taktikler kullanabilir. En yaygın dolandırıcılık türlerinden biri, hesap devralmayı içerir. İşte nasıl çalıştığı:
- Bir siber suçlu, bir kimlik avı dolandırıcılığı, kötü amaçlı yazılım saldırısı veya ikisinin bir kombinasyonu yoluyla bir bireyin 401(k) planı oturum açma bilgilerine erişim elde eder.
- Bu bilgileri, çalışanın 401(k) planına giriş yapmak ve iletişim telefon numarası ve adresi veya giriş şifresi gibi hesabın belirli ayrıntılarını değiştirmek için kullanırlar.
- Bu değişikliklerin fark edilmediğini varsayarsak, dolandırıcı daha sonra 401(k)’den harici olarak bağlantılı bir hesaba fon transferleri başlatabilir veya güncellenmiş adrese kağıt çekler gönderilmesini sağlayabilir.
Hesap devralma dolandırıcılığı, bireysel emeklilik hesapları (IRA’lar), vergiye tabi aracılık hesapları ve banka hesapları dahil olmak üzere diğer hesap türlerinde de olabilir.
Önemli
Banka ve kredi kartı hesapları federal dolandırıcılık korumalarından yararlansa da, bunlar genellikle 401(k) planlarını ve diğer emeklilik hesaplarını kapsamaz.
DOL 401(k) Siber Güvenlik Rehberi
2021’de Çalışma Bakanlığı, 401(k) planlarının ve ERISA tarafından yönetilen diğer emeklilik planlarının siber dolandırıcılığa karşı korunmasına yardımcı olacak yeni bir kılavuz yayınladı. Bu kılavuz, 401(k) planlarını kimlik hırsızlığı ve diğer siber suç türlerinden koruma konusunda plan sponsorlarına, vekillere, kayıt tutanlara ve plan katılımcılarına yardımcı olmak için tasarlanmıştır. Kılavuz üç özel alana odaklanır: hizmet sağlayıcıları işe almak için ipuçları, siber güvenlik programı en iyi uygulamaları ve çevrimiçi güvenlik.
Plan Sponsorları için Rehberlik
Yeni DOL kuralları, plan sponsorlarını güçlü siber güvenlik uygulamalarını takip eden hizmet sağlayıcılarla çalışmaya teşvik ediyor. Özellikle, DOL, sağlayıcıları incelerken plan sponsorlarının aşağıdakileri yapmasını önerir:
- Sağlayıcının bilgi güvenliği standartlarını, uygulamalarını ve politikalarını sorun ve bunları diğer finansal kurumların kullandığı endüstri standartlarıyla karşılaştırın.
- Bilgi güvenliği için tanınmış bir standardı izleyen sağlayıcıları arayın.
- Sağlayıcıya uygulamalarını nasıl doğruladığını ve hangi düzeyde güvenlik standartlarının uygulandığını sorun.
- Sağlayıcının sektördeki geçmişini değerlendirin ve sağlayıcının yaşamış olabileceği geçmiş güvenlik ihlallerini sorun.
- Sağlayıcının, plan katılımcılarının hesaplarının saldırıya uğradığı durumlar da dahil olmak üzere, siber güvenlik kayıplarını karşılayacak sigorta poliçeleri olup olmadığını araştırın.
- Bir hizmet sağlayıcıyla yapılan herhangi bir sözleşmenin, siber güvenlik ve bilgi güvenliği standartlarına sürekli uyum gerektirdiğinden emin olun.
Plan sponsorunuz, talep üzerine uyguladığı siber güvenlik önlemleri hakkında size bilgi verebilir.
Mütevelli Heyetleri ve Kayıt Tutanlar için Rehberlik
DOL kuralları uyarınca, 401(k) planı mütevelli heyetleri ve kayıt tutanlar, siber güvenlik risklerini azaltmak için üzerlerine düşeni yapmalarını sağlamaktan da sorumludur. Önerilen en iyi uygulamalar listesi aşağıdakileri içerir:
- Resmi, iyi belgelenmiş bir siber güvenlik programına sahip olun.
- Yıllık risk değerlendirmelerini ihtiyatlı bir şekilde gerçekleştirin.
- Güvenlik kontrollerinin yıllık üçüncü taraf denetimlerini planlayın.
- Bilgi güvenliği rollerini ve sorumluluklarını açıkça tanımlayın ve atayın.
- Güçlü erişim kontrol prosedürlerini uygulamaya koyun.
- Bulutta depolanan veya üçüncü taraf sağlayıcılar tarafından yönetilen varlıkların veya verilerin uygun güvenlik incelemelerine ve değerlendirmelerine tabi olduğundan emin olun.
- Periyodik siber güvenlik farkındalık eğitimleri gerçekleştirin.
- Güvenli bir sistem geliştirme yaşam döngüsü (SDLC) programı uygulayın ve yönetin.
- İş sürekliliği, olağanüstü durum kurtarma ve olay müdahalesini ele alan etkili bir iş esnekliği programı oluşturun.
- Hassas verileri her zaman şifreleyin.
- En iyi güvenlik uygulamalarıyla uyumlu olarak güçlü teknik kontroller uygulayın.
- Geçmişteki siber güvenlik olaylarına uygun şekilde yanıt verin.
Plan Katılımcıları için Rehberlik
DOL ayrıca 401(k) planı katılımcılarına hesaplarını güvende tutmak için üzerlerine düşeni yapmalarına yardımcı olacak ipuçları da sunar. Bu ipuçlarının çoğu, çevrimiçi bankacılık bilgilerini korumaya teşvik edilen stratejilerle aynıdır. İşte DOL’nin önerdiği şey:
- Tanımadığınız olağandışı etkinlik veya işlemleri arayarak hesabınızı düzenli olarak izleyin.
- Emeklilik hesaplarına giriş yapmak ve bunları düzenli olarak güncellemek için güçlü ve benzersiz şifreler kullanın.
- Plan sponsorunuz veya hizmet sağlayıcınız bunu sunuyorsa, çok faktörlü kimlik doğrulamayı ayarlayın.
- Hesabınız için listelenen kişisel iletişim bilgilerini güncel tutun.
- Kullanılmayan finansal hesapları kapatın veya silin.
- Finansal hesaplara erişmek için halka açık Wi-Fi kullanmaktan kaçının.
- Kimlik avı dolandırıcılığına karşı dikkatli olun.
- Cihazlarınızı korumak ve düzenli olarak güncellemek için virüsten koruma yazılımı kullanın.
Uç
401(k)’nizin ihlal edildiğini düşünüyorsanız, bunu bildirmek için mümkün olan en kısa sürede plan sponsorunuzla iletişime geçin. Siber suçları FBI ve Siber Güvenlik ve Altyapı Güvenlik Ajansı’na (CISA) da bildirebilirsiniz.
Bir 401(k) Hacklenebilir mi?
Bir 401(k), kullanıcı kimliğiniz ve şifreniz de dahil olmak üzere hesap giriş bilgilerinize erişebilirse saldırıya uğrayabilir. Bilgisayar korsanları, tıpkı bir banka hesabında olduğu gibi, birinin 401(k) planından para çekmek için hesap devralma olarak bilinen bir yöntemi kullanabilir.
401(k) Telefonunuz Çalınırsa Ne Olur?
Birinin 401(k) veya benzer bir işyeri emeklilik planınızdan hileli olarak para çektiğini düşünüyorsanız, ilk adım plan sponsorunuzla iletişime geçmektir. Dolandırıcılığın uygun federal yetkililere bildirilmesini gerektirebilecek bir sonraki adımda ne yapacağınız konusunda size tavsiyede bulunabilmelidirler. Çalınan 401(k) fonları geri alıp alamayacağınız, plan sponsorunun siber suçları ele alma politikalarına bağlı olabilir.
401(k)’mi Nasıl Güvende Tutabilirim?
401(k) hesabınızın güvenliğini sağlamanın en iyi yollarından bazıları, benzersiz parolalar kullanmak, oturum açma bilgilerinizi tanımadığınız kişilerle paylaşmamak ve hesaplarınıza çevrimiçi erişirken halka açık Wi-Fi kullanmaktan kaçınmaktır. Ayrıca, hesabınızdaki yeni etkinlikler veya değişiklikler hakkında sizi bilgilendirmek için uyarılar ayarlayabilir ve e-posta gelen kutunuza gelebilecek olası kimlik avı dolandırıcılıklarını nasıl tespit edeceğinizi öğrenebilirsiniz.
Alt çizgi
Emeklilik için 401(k) paranıza katkıda bulunmak için çok çalışıyorsunuz ve istediğiniz son şey siber suçluların onu çalması. Talihsiz gerçek şu ki, 401(k) planları ve diğer işyeri emeklilik planları, siber saldırılara karşı diğer finansal hesap türleri kadar savunmasız olabilir. DOL’nin yeni 401(k) siber güvenlik kılavuzu, bu hesapları korumak için doğru yönde atılmış bir adımdır. Çalışkan olmak ve hesaplarınızı düzenli olarak izlemek, emeklilik tasarruflarınızı güvende tutmanıza yardımcı olabilir.