身份盗窃已经赶上了401(k)计划。最近几家大型计划管理机构出现安全漏洞,主要与笔记本电脑和手持电脑的普及有关,这动摇了投资者的信心,并促使人们加强对大型公司保护客户信息的审查。
今年1月,一名投资者的全部17.9万美元401(k)账户余额在黑客获取了他的用户名和密码后被盗。该计划的管理人摩根大通(JPMorgan Chase & Co.)退还了所有被盗的资金。去年11月,401(k)退休金计划管理和咨询公司Towers Perrin的一名心怀不满的员工被控从该公司曼哈顿办公室的一间上锁的房间里偷走了5台笔记本电脑。美国运通(American Express)和联合利华(Unilever)立顿(Lipton)部门的员工也受到了影响,至少有一名员工报告称,他的个人信息被用来开设赊账账户。Towers Perrin表示,它已经尽快通知了受影响的客户,并对事故给他们带来的任何不便表示遗憾。
“参与者的账户现在比以往任何时候都更加暴露,”DST系统的合规主管杰弗里·库克(Jeffrey Cook)说。他管理着大约500亿美元的退休资产。
安全正在成为一个大问题401 (k)计划不仅仅是因为黑客攻击也由于监管变化:10月16日,美国证券交易委员会(sec)将需要一个新的水平的投资经理之间信息共享,券商、独立recordkeepers和其他公司服务计划赞助商。这项名为22c-2的新规定主要是为了帮助共同基金公司追踪和阻止个人账户持有人的择时行为和其他违规交易行为。但它也将大幅增加黑客可以攻击的信息流量。
瓦乔维亚退休服务公司(Wachovia Retirement Services)高级副总裁兼风险经理查德•布莱尼格(Chad Breunig)在谈到新规定将导致的电子短信激增时说:“我们会因为必须提取数据的交易数量而变得暗淡。”
根据2002年修改的一项联邦法律,公司和其他退休计划赞助商被要求保持参与者账户的隐私和安全,并确保他们雇佣的参与计划的人也会这样做。他们如何应对日益增长的安全漏洞风险?
“把你的笔记本电脑和手持设备像台式机一样对待,”Jonathan Gossels建议,他是SystemsExperts Corp.的总裁,这是一家位于马萨诸塞州萨德伯里的技术安全咨询公司。这意味着对公司部署在办公室电脑上的便携式设备使用相同的加密软件和其他安全措施。
富达投资(Fidelity Investments)正在这么做。去年,该公司因一台载有惠普公司(Hewlett-Packard Co.) 196,000名401(k)账户参与者信息的笔记本电脑从一名员工租用的汽车上被盗而受到批评。该行业最大的固定捐赠管理公司(defined contribution administrator)的一位发言人说,该公司最近在所有公司的笔记本电脑上安装了加密软件,现在要求员工完成如何保护客户机密信息的培训。(富达表示,惠普受益人的账户信息没有因笔记本电脑失窃而泄露。)
先锋集团不允许员工在笔记本电脑上存储任何参与者信息。401(k)计划的另一个主要管理人纽约人寿投资管理公司(New York Life Investment Management)的退休服务部门也不这么认为。Vanguard和其他公司还在努力改进技术,以验证计划参与者和参与账户交易的其他各方的身份。其中一个重点是:依赖于识别人类声音、复杂指纹、视网膜扫描和其他生物识别创新的防护措施。
先锋集团(Vanguard)负责安全事务的校长弗雷德里克•特伊费尔(Frederick Teufel)表示:“这是最具创新性的工作。”“例如,该行业的每一家公司都在测试语音识别。”
许多公司需要对可能被黑客利用的行为进行手工批准,这些行为包括取款、贷款请求、更改地址、将退休账户与支票账户关联起来、贷款请求和地址更改。不少高管将他们的努力比作军备竞赛;他们总是在攻击者之前抢先一步(或鼠标点击)。