< p class="meta"> Di Jonathan Greig | 2 settembre 2021 — 21:32 GMT (22:32 BST) | Argomento: sicurezza
Questa settimana la SEC ha emesso sanzioni contro otto aziende per una serie di fallimenti nella sicurezza informatica che hanno portato alla fuga di dati personali per migliaia di persone.
Cetera Advisor Networks, Cetera Investment Services, Cetera Financial Specialists, Cetera Advisors e Cetera Investment Advisers (collettivamente, le entità Cetera); Cambridge Investment Research e Cambridge Investment Research Advisors (collettivamente, Cambridge); e KMS Financial Services (KMS) sono stati tutti nominati dalla SEC per politiche di sicurezza informatica poco brillanti che hanno portato a “acquisizioni di account di posta elettronica che espongono le informazioni personali di migliaia di clienti e clienti di ciascuna azienda”.
Tutte le società sono registrate dalla Commissione come intermediari, società di consulenza per gli investimenti o entrambe, secondo una dichiarazione della SEC. Le società Cetera pagheranno una sanzione di $ 300.000, mentre Cambridge pagherà una sanzione di $ 250.000 e KMS pagherà una sanzione di $ 200.000.
La SEC ha affermato che da novembre 2017 a giugno 2020, 60 account di posta elettronica basati su cloud di entità Cetera i dipendenti sono stati violati, portando a 4.388 clienti e clienti che hanno perso le loro informazioni personali.
La SEC non ha elencato il tipo di informazioni personali trapelate in ciascun caso.
“Nessuno dei conti acquisiti è stato protetto in modo coerente con le politiche delle entità Cetera. L'ordine della SEC rileva inoltre che Cetera Advisors LLC e Cetera Investment Advisers LLC hanno inviato notifiche di violazione ai clienti delle società che includevano un linguaggio fuorviante che suggeriva che le notifiche sono stati emessi molto prima di quanto non fossero in realtà dopo la scoperta degli incidenti”, afferma la dichiarazione della SEC.
“Secondo l'ordine della SEC contro Cambridge, tra gennaio 2018 e luglio 2021, gli account di posta elettronica basati su cloud di oltre 121 rappresentanti di Cambridge sono stati rilevati da terze parti non autorizzate, con conseguente esposizione alle PII di almeno 2.177 clienti e clienti di Cambridge. ordine rileva che, sebbene Cambridge abbia scoperto la prima acquisizione di account di posta elettronica nel gennaio 2018, non è riuscita ad adottare e implementare misure di sicurezza avanzate a livello aziendale per gli account di posta elettronica basati su cloud dei suoi rappresentanti fino al 2021, con conseguente esposizione e potenziale esposizione di ulteriori clienti e record e informazioni sui clienti.”
Quindici consulenti finanziari di KMS hanno rilevato i loro conti, portando all'esposizione di quasi 5.000 informazioni sui clienti tra settembre 2018 e dicembre 2019. KMS non ha modificato le sue politiche di sicurezza informatica fino a maggio 2020 e non ha nemmeno implementato tali modifiche fino ad agosto 2020.
Kristina Littman, capo della Cyber Unit della SEC Enforcement Division, ha affermato che i consulenti per gli investimenti e i broker dealer devono adempiere ai loro obblighi relativi alla protezione delle informazioni dei clienti.
“Non è sufficiente scrivere una politica che richieda misure di sicurezza avanzate se tali requisiti non sono implementati o sono implementati solo parzialmente, specialmente di fronte ad attacchi noti”, ha affermato Littman.
Tutte le aziende hanno violato la Regola di salvaguardia che protegge le informazioni dei clienti e Cetera ha violato altre regole relative alle informazioni errate incluse nelle lettere di notifica della violazione.
“Senza ammettere o negare le conclusioni della SEC, ogni azienda ha accettato di cessare e desistere da future violazioni delle disposizioni addebitate, di essere censurata e di pagare una sanzione”, ha affermato la SEC in una nota.
Pravin Kothari, vicepresidente esecutivo della società di sicurezza informatica Lookout, ha affermato che le organizzazioni di tutti i tipi devono essere consapevoli del crescente rischio con i propri dati nel cloud e proteggere sempre le informazioni personali identificabili e le informazioni sanitarie protette considerando la crescente numero di regolamenti sulla riservatezza dei dati delle persone fisiche, come GDPR , PCI DSS, HIPAA e CCPA.
“I servizi finanziari hanno normative aggiuntive per la protezione dei dati dei clienti come GLBA, SEC, FFIEC”, ha aggiunto Kothari.
Alec Alvarado, capo del team di intelligence sulle minacce di Digital Shadows, ha osservato che i casi hanno rivelato che il continuo targeting dei servizi di posta elettronica basati su cloud spesso si traduce in una compromissione più ampia.
L'acquisizione dell'account continua a emergere come un problema significativo per le organizzazioni man mano che il database delle credenziali esposto cresce, ha affermato Alvarado.
“Una seconda implicazione è la potenziale esposizione che può derivare da un singolo compromesso. Gli attori delle minacce possono facilmente condurre movimenti laterali e ruotare attraverso l'infrastruttura compromessa dopo aver ottenuto l'accesso iniziale”, ha detto Alvarado a ZDNet.
Sicurezza
T-Mobile hack: tutto ciò che devi sapere Recensione di Surfshark VPN: è economico, ma è buono? I migliori browser per la privacy Sicurezza informatica 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA La minaccia ransomware è in crescita: cosa deve succedere per impedire che gli attacchi peggiorino? (ZDNet YouTube)
Argomenti correlati:
Cloud Security TV Data Management CXO Data Center 