< p class = "meta"> Av Jonathan Greig | 2. september 2021 – 21:32 GMT (22:32 BST) | Tema: Sikkerhet
SEC gav denne uken sanksjoner mot åtte bedrifter for en rekke cybersikkerhetsfeil som resulterte i lekkasje av personopplysninger for tusenvis av mennesker.
Cetera Advisor Networks, Cetera Investment Services, Cetera Financial Specialists, Cetera Advisors og Cetera Investment Advisers (samlet sett Cetera Entities); Cambridge Investment Research og Cambridge Investment Research Advisors (samlet, Cambridge); og KMS Financial Services (KMS) ble alle navngitt av SEC for mangelfulle retningslinjer for cybersikkerhet som førte til “overtakelse av e -postkontoer som avslørte personlig informasjon om tusenvis av kunder og klienter ved hvert firma.”
Alle selskapene er kommisjonsregistrert som meglerforhandlere, investeringsrådgivende firmaer eller begge deler, ifølge en SEC-uttalelse. Cetera-selskapene vil betale en bot på 300 000 dollar, mens Cambridge vil betale en bot på 250 000 dollar, og KMS vil betale en straff på 200 000 dollar.
SEC sa at fra november 2017 til juni 2020, 60 skybaserte e-postkontoer for Cetera Entities ansatte ble hacket inn, noe som førte til at 4.388 kunder og klienter fikk sin personlige informasjon lekket.
SEC oppførte ikke hva slags personopplysninger som lekket ut i hvert enkelt tilfelle.
“Ingen av de overtatte kontoene ble beskyttet på en måte som var i samsvar med Cetera Entities 'retningslinjer. I SECs ordre finner vi også at Cetera Advisors LLC og Cetera Investment Advisers LLC sendte bruddsvarsler til selskapets kunder som inkluderte villedende språk som antydet at meldingene ble utstedt mye tidligere enn de faktisk var etter oppdagelsen av hendelsene, “heter det i SEC -uttalelsen.
“I følge SECs pålegg mot Cambridge, mellom januar 2018 og juli 2021, ble skybaserte e-postkontoer for over 121 Cambridge-representanter overtatt av uautoriserte tredjeparter, noe som resulterte i PII-eksponering av minst 2177 Cambridge-kunder og -klienter. SECs ordre finner ut at selv om Cambridge oppdaget den første overtakelsen av e-postkontoen i januar 2018, klarte den ikke å vedta og implementere forbedrede sikkerhetstiltak for hele selskapet for skybaserte e-postkontoer til sine representanter frem til 2021, noe som resulterte i eksponering og potensiell eksponering av ytterligere kunder og klientoppføringer og informasjon. “
Femten finansielle rådgivere fra KMS fikk overtatt regnskapet, noe som førte til at nesten 5000 kunders informasjon ble avslørt mellom september 2018 og desember 2019. KMS endret ikke retningslinjene for cybersikkerhet før i mai 2020 og implementerte ikke engang endringene før i august 2020.
Kristina Littman, sjef for SEC Enforcement Division's Cyber Unit, sa at investeringsrådgivere og meglerforhandlere må oppfylle sine forpliktelser vedrørende beskyttelse av kundeinformasjon.
“Det er ikke nok å skrive en policy som krever forbedrede sikkerhetstiltak hvis disse kravene ikke er implementert eller bare er delvis implementert, spesielt i lys av kjente angrep,” sa Littman.
Alle firmaene brøt beskyttelsesregelen som beskytter kundeinformasjon, og Cetera brøt andre regler knyttet til feilaktig informasjon som er inkludert i varselbrevene om brudd på brudd.
“Uten å innrømme eller benekte SECs funn, ble hvert firma enige om å opphøre og avstå fra fremtidige brudd på de belastede bestemmelsene, bli sensurert og betale en straff,” sa SEC i en uttalelse.
Pravin Kothari, konserndirektør i cybersikkerhetsselskapet Lookout, sa at organisasjoner av alle slag må være klar over den økende risikoen med sine data i skyen og alltid beskytte personlig identifiserbar informasjon og beskyttet helseinformasjon med tanke på den økende antall forskrifter om personvern for enkeltpersoner, for eksempel GDPR, PCI DSS, HIPAA og CCPA.
“Finanstjenester har tilleggsforskrifter for klientdatabeskyttelse som GLBA, SEC, FFIEC,” la Kothari til.
Digital Shadows trussel etterretningsteam leder Alec Alvarado bemerket at sakene avslørte at den fortsatte målrettingen mot skybaserte e-posttjenester ofte resulterer i et bredere kompromiss.
Kontoovertakelse fortsetter å dukke opp som et betydelig problem for organisasjoner ettersom den avslørte legitimasjonsdatabasen vokser, sa Alvarado.
“En annen implikasjon er den potensielle eksponeringen som kan skyldes et enkelt kompromiss. Trusselaktører kan enkelt utføre sidebevegelser og svinge over kompromittert infrastruktur etter at de får første tilgang,” sa Alvarado til ZDNet.
Sikkerhet
T-Mobile-hack: Alt du trenger å vite Surfshark VPN-anmeldelse: Det er billig, men er det bra? De beste nettleserne for personvern Cybersikkerhet 101: Beskytt personvernet ditt Den beste antivirusprogramvaren og appene De beste VPN -ene for forretninger og hjemmebruk De beste sikkerhetsnøklene for 2FA Truselen mot ransomware vokser: Hva må skje for å stoppe angrepene som blir verre? (ZDNet YouTube)
Relaterte emner:
Cloud Security TV Datahåndtering CXO datasentre 