< p class="meta"> Door Jonathan Greig | 2 september 2021 — 21:32 GMT (22:32 BST) | Onderwerp: Beveiliging
De SEC heeft deze week sancties uitgevaardigd tegen acht bedrijven voor een reeks cyberbeveiligingsfouten die resulteerden in het lekken van persoonlijke gegevens voor duizenden mensen.
Cetera Advisor Networks, Cetera Investment Services, Cetera Financial Specialists, Cetera Advisors en Cetera Investment Advisers (gezamenlijk de Cetera Entities); Cambridge Investment Research en Cambridge Investment Research Advisors (gezamenlijk Cambridge); en KMS Financial Services (KMS) werden allemaal genoemd door de SEC vanwege het gebrekkige cyberbeveiligingsbeleid dat leidde tot “overnames van e-mailaccounts waarbij de persoonlijke informatie van duizenden klanten en klanten bij elk bedrijf werd blootgelegd.”
Volgens een SEC-verklaring zijn alle bedrijven door de Commissie geregistreerd als broker-dealers, beleggingsadviesbureaus of beide. De Cetera-bedrijven betalen een boete van $ 300.000, terwijl Cambridge een boete van $ 250.000 betaalt en KMS een boete van $ 200.000.
De SEC zei dat van november 2017 tot juni 2020 60 cloudgebaseerde e-mailaccounts van Cetera Entities medewerkers werden gehackt, waardoor 4.388 klanten en klanten hun persoonlijke informatie lekten.
De SEC heeft niet in elk geval vermeld welk soort persoonlijke informatie is gelekt.
“Geen van de overgenomen rekeningen werd beschermd op een manier die in overeenstemming is met het beleid van Cetera Entities. In het bevel van de SEC staat ook dat Cetera Advisors LLC en Cetera Investment Advisers LLC inbreukmeldingen naar de klanten van de firma's hebben gestuurd met daarin misleidende taal die suggereert dat de meldingen werden veel eerder uitgegeven dan ze in werkelijkheid waren na de ontdekking van de incidenten”, aldus de SEC-verklaring.
“Volgens het bevel van de SEC tegen Cambridge werden tussen januari 2018 en juli 2021 cloudgebaseerde e-mailaccounts van meer dan 121 Cambridge-vertegenwoordigers overgenomen door onbevoegde derden, wat resulteerde in de PII-blootstelling van ten minste 2.177 Cambridge-klanten en -klanten. order constateert dat hoewel Cambridge de eerste overname van e-mailaccounts in januari 2018 ontdekte, het tot 2021 geen bedrijfsbrede verbeterde beveiligingsmaatregelen voor cloudgebaseerde e-mailaccounts van zijn vertegenwoordigers had aangenomen en geïmplementeerd, wat resulteerde in de blootstelling en mogelijke blootstelling van extra klanten en klantgegevens en informatie.”
Vijftien financiële adviseurs van KMS lieten hun rekeningen overnemen, wat leidde tot de blootstelling van bijna 5.000 klantinformatie tussen september 2018 en december 2019. KMS wijzigde zijn cyberbeveiligingsbeleid pas in mei 2020 en voerde die wijzigingen zelfs niet door tot augustus 2020.
Kristina Littman, hoofd van de Cyber Unit van de SEC Enforcement Division, zei dat beleggingsadviseurs en broker-dealers hun verplichtingen met betrekking tot de bescherming van klantinformatie moeten nakomen.
“Het is niet voldoende om een beleid te schrijven dat verbeterde beveiligingsmaatregelen vereist als die vereisten niet of slechts gedeeltelijk worden geïmplementeerd, vooral niet in het licht van bekende aanvallen”, zei Littman.
Alle firma's hebben de vrijwaringsregel ter bescherming van klantinformatie overtreden en Cetera heeft andere regels overtreden met betrekking tot foutieve informatie in hun kennisgevingsbrieven.
“Zonder de bevindingen van de SEC toe te geven of te ontkennen, stemde elk bedrijf ermee in toekomstige schendingen van de aangeklaagde bepalingen te staken, te worden gecensureerd en een boete te betalen”, aldus de SEC in een verklaring.
Pravin Kothari, executive vice president bij cyberbeveiligingsbedrijf Lookout, zei dat alle soorten organisaties zich bewust moeten zijn van het groeiende risico met hun gegevens in de cloud en altijd persoonlijk identificeerbare informatie en beschermde gezondheidsinformatie moeten beschermen, gezien de groeiende aantal voorschriften over gegevensprivacy van individuen, zoals AVG, PCI DSS, HIPAA en CCPA.
“Financiële diensten hebben aanvullende regels voor de bescherming van klantgegevens, zoals GLBA, SEC, FFIEC”, voegde Kothari eraan toe.
Alec Alvarado, leider van het Digital Shadows-team voor bedreigingsinformatie, merkte op dat uit de gevallen bleek dat de voortdurende targeting van cloudgebaseerde e-mailservices vaak leidt tot een breder compromis.
Accountovername blijft een groot probleem voor organisaties naarmate de database met blootgestelde referenties groeit, zei Alvarado.
“Een tweede implicatie is de potentiële blootstelling die het gevolg kan zijn van een enkel compromis. Bedreigingsactoren kunnen gemakkelijk zijdelingse bewegingen uitvoeren en over gecompromitteerde infrastructuur draaien nadat ze de eerste toegang hebben verkregen”, vertelde Alvarado aan ZDNet.
Beveiliging
T-Mobile hack: alles wat je moet weten Surfshark VPN review: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA De ransomware-dreiging groeit: wat moet er gebeuren om te voorkomen dat aanvallen erger worden? (ZDNet YouTube)
Verwante onderwerpen:
Cloudbeveiliging TV-gegevensbeheer CXO-datacenters 