< p class = "meta"> Af Jonathan Greig | 2. september 2021 – 21:32 GMT (22:32 BST) | Emne: Sikkerhed
SEC afgav sanktioner mod otte virksomheder i denne uge for en skifer cybersikkerhedsfejl, der resulterede i lækage af personoplysninger for tusinder af mennesker.
Cetera Advisor Networks, Cetera Investment Services, Cetera Financial Specialists, Cetera Advisors og Cetera Investment Advisers (samlet set Cetera Entities); Cambridge Investment Research og Cambridge Investment Research Advisors (samlet, Cambridge); og KMS Financial Services (KMS) blev alle navngivet af SEC for mangelfulde cybersikkerhedspolitikker, der førte til “overtagelse af e -mail -konti, der afslørede personoplysninger om tusindvis af kunder og klienter i hvert firma.”
Alle virksomhederne er registreret af Kommissionen som mæglerforhandlere, investeringsrådgivende virksomheder eller begge dele, ifølge en SEC-erklæring. Cetera-selskaberne betaler en sanktion på 300.000 dollar, mens Cambridge betaler en straf på 250.000 dollars, og KMS betaler en straf på 200.000 dollars.
SEC sagde, at fra november 2017 til juni 2020, 60 cloud-baserede e-mail-konti for Cetera Entities medarbejdere blev hacket ind, hvilket førte til, at 4.388 kunder og klienter fik deres personlige oplysninger lækket.
SEC opregnede ikke den type personlige oplysninger, der var lækket i hvert enkelt tilfælde.
“Ingen af de overtagne konti blev beskyttet på en måde, der var i overensstemmelse med Cetera -enhedernes politikker. I SEC's bekendtgørelse findes det også, at Cetera Advisors LLC og Cetera Investment Advisers LLC sendte misligholdelsesmeddelelser til virksomhedens kunder, der inkluderede vildledende sprog, der tyder på, at meddelelserne blev udstedt meget hurtigere, end de rent faktisk var efter opdagelsen af hændelserne, “hedder det i SEC -erklæringen.
“I henhold til SEC's kendelse mod Cambridge blev cloud-baserede e-mail-konti for over 121 Cambridge-repræsentanter mellem januar 2018 og juli 2021 overtaget af uautoriserede tredjeparter, hvilket resulterede i PII-eksponering af mindst 2.177 Cambridge-kunder og -klienter. SEC's ordre finder ud af, at selvom Cambridge opdagede den første overtagelse af e-mail-kontoen i januar 2018, lykkedes det ikke at vedtage og implementere forbedrede sikkerhedsforanstaltninger over hele virksomheden for skybaserede e-mail-konti for sine repræsentanter frem til 2021, hvilket resulterede i eksponering og potentiel eksponering af yderligere kunder og klientoptegnelser og oplysninger. “
Femten KMS finansielle rådgivere fik overtaget deres konti, hvilket førte til eksponering af næsten 5.000 kunders oplysninger mellem september 2018 og december 2019. KMS ændrede ikke sine cybersikkerhedspolitikker før i maj 2020 og implementerede ikke engang disse ændringer før i august 2020.
Kristina Littman, chef for SEC Enforcement Division's Cyber Unit, sagde, at investeringsrådgivere og mæglerforhandlere skal opfylde deres forpligtelser vedrørende beskyttelse af kundeoplysninger.
“Det er ikke nok at skrive en politik, der kræver forbedrede sikkerhedsforanstaltninger, hvis disse krav ikke implementeres eller kun delvist implementeres, især i lyset af kendte angreb,” sagde Littman.
Alle virksomheder overtrådte beskyttelsesreglen om beskyttelse af kundeoplysninger, og Cetera overtrådte andre regler i forbindelse med fejlagtige oplysninger, der er inkluderet i deres meddelelser om brud på overtrædelser.
“Uden at indrømme eller benægte SEC's konklusioner, accepterede hvert firma at ophøre og afstå fra fremtidige overtrædelser af de opkrævede bestemmelser, blive censureret og betale en straf,” sagde SEC i en erklæring.
Pravin Kothari, koncerndirektør i cybersikkerhedsvirksomheden Lookout, sagde, at alle slags organisationer skal være opmærksomme på den stigende risiko med deres data i skyen og altid beskytte personlige identificerbare oplysninger og beskyttede sundhedsoplysninger i betragtning af den voksende antal regler om privatlivets fred for enkeltpersoner, f.eks. GDPR, PCI DSS, HIPAA og CCPA.
“Finansielle tjenester har yderligere regler for beskyttelse af klientdata, såsom GLBA, SEC, FFIEC,” tilføjede Kothari.
Digital Shadows trussel efterretningsteam leder Alec Alvarado bemærkede, at sagerne afslørede, at den fortsatte målretning mod skybaserede e-mail-tjenester ofte resulterer i et bredere kompromis.
Kontoovertagelse fortsætter med at dukke op som et væsentligt problem for organisationer, efterhånden som den eksponerede legitimationsdatabase vokser, sagde Alvarado.
“En anden implikation er den potentielle eksponering, der kan skyldes et enkelt kompromis. Trusselsaktører kan let udføre sidebevægelse og dreje på tværs af kompromitteret infrastruktur, efter at de har fået første adgang,” sagde Alvarado til ZDNet.
Sikkerhed
T-Mobile hack: Alt hvad du behøver at vide Surfshark VPN anmeldelse: Det er billigt, men er det godt? De bedste browsere til beskyttelse af fortrolige oplysninger Cybersikkerhed 101: Beskyt dit privatliv Den bedste antivirussoftware og apps De bedste VPN'er til erhverv og hjemmebrug De bedste sikkerhedsnøgler til 2FA Ransomware -truslen vokser: Hvad skal der ske for at forhindre, at angreb bliver værre? (ZDNet YouTube)
Relaterede emner:
Cloud Security TV Datastyring CXO -datacentre 