Комиссия по ценным бумагам и биржам США оштрафовала несколько брокерских фирм на общую сумму 750 000 долларов за раскрытие конфиденциальной идентифицирующей информации тысяч клиентов и клиентов после того, как хакеры захватили учетные записи электронной почты сотрудников.
SEC наложила санкции на восемь организаций, принадлежащих трем компаниям, включая Cetera (сети консультантов, инвестиционные услуги, финансовые специалисты, консультанты и консультанты по инвестициям), Cambridge Investment Research (консультанты по инвестиционным исследованиям и инвестиционным исследованиям) и KMS Financial. Услуги.
В пресс-релизе SEC объявила, что наложила санкции на фирмы за сбои в их политиках и процедурах кибербезопасности, которые позволили хакерам получить несанкционированный доступ к облачным учетным записям электронной почты, раскрывая личную информацию тысяч клиентов и клиентов каждой фирмы.
В случае с Cetera SEC заявила, что в облачные учетные записи электронной почты более 60 сотрудников в течение более трех лет проникли неавторизованные третьи стороны, в результате чего была раскрыта личная информация не менее 4388 клиентов.
В приказе говорится, что ни одна из учетных записей не имела защиты, требуемой политикой Cetera, и SEC также обвинила двух организаций Cetera в отправке клиентам уведомлений о нарушениях, содержащих «вводящую в заблуждение формулировку, предполагающую, что уведомления были выпущены намного раньше, чем они были на самом деле после обнаружения. инцидентов ».
В постановлении SEC против Кембриджа делается вывод о том, что раскрытие личной информации по крайней мере 2177 клиентам и клиентам Кембриджа было результатом слабой практики кибербезопасности в фирме.
«Хотя Кембридж обнаружил первое поглощение учетной записи электронной почты в январе 2018 года, он не смог принять и внедрить расширенные меры безопасности для облачных учетных записей электронной почты своих представителей до 2021 года, что привело к раскрытию и потенциальному раскрытию дополнительных записей клиентов и клиентов. и информация », – сказали в SEC.
Порядок в отношении KMS аналогичен; В приказе SEC говорится, что данные почти 5000 клиентов и клиентов были раскрыты в результате отказа компании принять письменные правила и процедуры, требующие дополнительных мер безопасности в масштабах всей компании до мая 2020 года.
«Консультанты по инвестициям и брокеры-дилеры должны выполнять свои обязательства по защите информации о клиентах», – сказала Кристина Литтман, руководитель кибер-отдела SEC Enforcement Division. «Недостаточно написать политику, требующую усиленных мер безопасности, если эти требования не выполняются или выполняются лишь частично, особенно перед лицом известных атак».
Все стороны согласились снять обвинения и не совершать в будущем нарушений обвиняемых положений, не признавая и не отрицая выводы Комиссии по ценным бумагам и биржам. В рамках расчетов Cetera выплатит штраф в размере 300 000 долларов, а Cambridge и KMS выплатят штрафы в размере 250 000 и 200 000 долларов соответственно.
Кембридж сообщил TechCrunch, что не комментирует нормативные вопросы, но сказал, что имеет и поддерживает комплексную группу информационной безопасности и процедуры для обеспечения полной защиты учетных записей клиентов. Cetera и KMS еще не ответили.
Это последнее действие SEC произошло всего через несколько недель после того, как Комиссия приказала лондонскому издательскому и образовательному гиганту Pearson выплатить штраф в размере 1 миллиона долларов за введение инвесторов в заблуждение относительно утечки данных в компании в 2018 году.