< p class = "meta"> Av Jonathan Greig | 2 september 2021 – 21:32 GMT (22:32 BST) | Ämne: Säkerhet
SEC utfärdade sanktioner mot åtta företag i veckan för en skada med cybersäkerhetsfel som resulterade i läckage av personuppgifter för tusentals människor.
Cetera Advisor Networks, Cetera Investment Services, Cetera Financial Specialists, Cetera Advisors och Cetera Investment Advisers (tillsammans Cetera Entities); Cambridge Investment Research och Cambridge Investment Research Advisors (tillsammans, Cambridge); och KMS Financial Services (KMS) namngavs alla av SEC på grund av otydlig cybersäkerhetspolicy som ledde till att “e -postkontoövertaganden avslöjade personliga uppgifter om tusentals kunder och klienter på varje företag.”
Alla företagen är registrerade av kommissionen som mäklare, investeringsrådgivningsföretag eller båda, enligt ett SEC-uttalande. Cetera-företagen kommer att betala en sanktion på 300 000 dollar medan Cambridge kommer att betala ett straff på 250 000 dollar och KMS kommer att betala en straff på 200 000 dollar.
SEC sa att från november 2017 till juni 2020, 60 molnbaserade e-postkonton för Cetera Entities anställda hackades in, vilket ledde till att 4 388 kunder och klienter fick sin personliga information läckt ut.
SEC listade inte den typ av personlig information som läckt ut i varje fall.
“Inget av de övertagna kontona skyddades på ett sätt som överensstämde med Cetera -enheternas policyer. I SEC: s order framgår också att Cetera Advisors LLC och Cetera Investment Advisers LLC skickade meddelanden om överträdelser till företagets kunder som inkluderade vilseledande språk som tyder på att meddelandena utfärdades mycket tidigare än de faktiskt var efter upptäckten av incidenterna “, säger SEC -uttalandet.
“Enligt SEC: s order mot Cambridge, mellan januari 2018 och juli 2021, togs molnbaserade e-postkonton för över 121 Cambridge-representanter över av obehöriga tredje parter, vilket resulterade i PII-exponering för minst 2177 Cambridge-kunder och klienter. SEC: s order konstaterar att även om Cambridge upptäckte det första e-postkontoövertagandet i januari 2018, misslyckades det med att anta och genomföra företagsövergripande förbättrade säkerhetsåtgärder för molnbaserade e-postkonton för sina företrädare fram till 2021, vilket resulterade i exponering och potentiell exponering för ytterligare kunder och klientposter och information. “
Femton KMS finansiella rådgivare fick sina konton övertagna, vilket ledde till att nästan 5 000 kunders information exponerades mellan september 2018 och december 2019. KMS ändrade inte sin cybersäkerhetspolicy förrän i maj 2020 och genomförde inte ens dessa ändringar förrän i augusti 2020.
Kristina Littman, chef för SEC Enforcement Division's Cyber Unit, sa att investeringsrådgivare och mäklare måste handla för sina skyldigheter när det gäller skyddet av kundinformation.
“Det räcker inte att skriva en policy som kräver förbättrade säkerhetsåtgärder om dessa krav inte genomförs eller endast delvis genomförs, särskilt mot kända attacker,” sa Littman.
Alla företag bröt mot skyddsåtgärdsregeln för att skydda kundinformation och Cetera bröt mot andra regler relaterade till felaktig information som finns i deras meddelanden om överträdelse.
“Utan att erkänna eller förneka SEC: s resultat, gick varje företag med på att upphöra och avstå från framtida kränkningar av de belastade bestämmelserna, att bli censurerade och att betala en straff,” sade SEC i ett uttalande.
Pravin Kothari, vice vd på cybersäkerhetsföretaget Lookout, sa att alla slags organisationer måste vara medvetna om den ökande risken med sina data i molnet och alltid skydda personlig identifierbar information och skyddad hälsoinformation med tanke på den växande antal föreskrifter om dataskydd för enskilda, till exempel GDPR, PCI DSS, HIPAA och CCPA.
“Finansiella tjänster har ytterligare bestämmelser för kunddataskydd som GLBA, SEC, FFIEC”, tillade Kothari.
Digital Shadows hot intelligence team ledare Alec Alvarado noterade att fallen avslöjade att den fortsatta inriktningen på molnbaserade e-posttjänster ofta resulterar i en bredare kompromiss.
Kontoövertagande fortsätter att dyka upp som ett betydande problem för organisationer i takt med att den exponerade referensdatabasen växer, sade Alvarado.
“En andra implikation är den potentiella exponeringen som kan uppstå genom en enda kompromiss. Hotaktörer kan enkelt utföra rörelser i sidled och svänga över komprometterad infrastruktur efter att de fått första åtkomst”, säger Alvarado till ZDNet.
Säkerhet
T-Mobile-hack: Allt du behöver veta Surfshark VPN-recension: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN -tjänsterna för företag och hemanvändning De bästa säkerhetsnycklarna för 2FA Ransomware -hotet växer: Vad måste hända för att stoppa attacker som blir värre? (ZDNet YouTube)
Relaterade ämnen:
Cloud Security TV Datahantering CXO -datacenter 