SEC mendenda delapan perusahaan investasi karena pelanggaran keamanan siber yang membocorkan informasi klien

Sultranow.com Informasi pribadi ribuan orang dibocorkan oleh delapan dealer pialang dan firma penasihat investasi yang terdaftar di SEC selama tiga tahun terakhir.

SEC menjatuhkan sanksi terhadap delapan perusahaan minggu ini atas serangkaian kegagalan keamanan siber yang mengakibatkan kebocoran data pribadi bagi ribuan orang. 

Jaringan Penasihat Cetera, Layanan Investasi Cetera, Spesialis Keuangan Cetera, Penasihat Cetera dan Penasihat Investasi Cetera (secara kolektif, Entitas Cetera); Cambridge Investment Research dan Cambridge Investment Research Advisors (secara kolektif, Cambridge); dan KMS Financial Services (KMS) semuanya dinamai oleh SEC untuk kebijakan keamanan siber yang tidak bersemangat yang menyebabkan “pengambilalihan akun email yang mengungkap informasi pribadi ribuan pelanggan dan klien di setiap perusahaan.”

SEC mendenda delapan perusahaan investasi karena pelanggaran keamanan siber yang membocorkan informasi klien

Semua perusahaan terdaftar di Komisi sebagai dealer pialang, perusahaan penasihat investasi, atau keduanya, menurut pernyataan SEC. Perusahaan Cetera akan membayar denda $300.000 sementara Cambridge akan membayar denda $250.000 dan KMS akan membayar denda $200.000.

SEC mengatakan bahwa dari November 2017 hingga Juni 2020, 60 akun email berbasis cloud karyawan Cetera Entities diretas, menyebabkan 4.388 pelanggan dan klien memiliki informasi pribadi mereka bocor. 

SEC tidak mencantumkan jenis informasi pribadi yang bocor dalam setiap kasus. 

“Tak satu pun dari akun yang diambil alih dilindungi dengan cara yang konsisten dengan kebijakan Cetera Entities. Perintah SEC juga menemukan bahwa Cetera Advisors LLC dan Cetera Investment Advisers LLC mengirimkan pemberitahuan pelanggaran kepada klien perusahaan yang menyertakan bahasa menyesatkan yang menunjukkan bahwa pemberitahuan tersebut dikeluarkan lebih cepat daripada yang sebenarnya setelah penemuan insiden itu,” kata pernyataan SEC. 

“Menurut perintah SEC terhadap Cambridge, antara Januari 2018 dan Juli 2021, akun email berbasis cloud lebih dari 121 perwakilan Cambridge diambil alih oleh pihak ketiga yang tidak sah, yang mengakibatkan paparan PII setidaknya 2.177 pelanggan dan klien Cambridge.

order menemukan bahwa meskipun Cambridge menemukan pengambilalihan akun email pertama pada Januari 2018, Cambridge gagal mengadopsi dan menerapkan langkah-langkah keamanan yang ditingkatkan secara menyeluruh untuk akun email berbasis cloud dari perwakilannya hingga tahun 2021, yang mengakibatkan paparan dan potensi paparan pelanggan tambahan dan catatan dan informasi klien.”

Lima belas penasihat keuangan KMS mengambil alih akun mereka, yang menyebabkan terbukanya hampir 5.000 informasi pelanggan antara September 2018 dan Desember 2019. KMS tidak mengubah kebijakan keamanan sibernya hingga Mei 2020 dan bahkan tidak menerapkan perubahan tersebut hingga Agustus 2020. 

Kristina Littman, kepala Unit Cyber ​​Divisi Penegakan SEC, mengatakan penasihat investasi dan dealer pialang harus memenuhi kewajiban mereka terkait perlindungan informasi pelanggan. 

“Tidaklah cukup untuk menulis kebijakan yang membutuhkan langkah-langkah keamanan yang ditingkatkan jika persyaratan itu tidak diterapkan atau hanya diterapkan sebagian, terutama dalam menghadapi serangan yang diketahui,” kata Littman. 

Semua perusahaan melanggar Aturan Perlindungan yang melindungi informasi pelanggan dan Cetera melanggar aturan lain yang terkait dengan informasi yang salah termasuk dalam surat pemberitahuan pelanggaran mereka. 

“Tanpa mengakui atau menyangkal temuan SEC, masing-masing perusahaan setuju untuk berhenti dan berhenti dari pelanggaran ketentuan yang dibebankan di masa depan, untuk dicela dan membayar penalti,” kata SEC dalam sebuah pernyataan. 

Pravin Kothari, wakil presiden eksekutif di perusahaan keamanan siber Lookout, mengatakan semua jenis organisasi perlu menyadari risiko yang berkembang dengan data mereka di cloud dan selalu melindungi informasi identitas pribadi dan informasi kesehatan yang dilindungi mengingat semakin banyaknya peraturan tentang privasi data. individu, seperti GDPR , PCI DSS, HIPAA dan CCPA.

“Layanan keuangan memiliki peraturan tambahan untuk perlindungan data klien seperti GLBA, SEC, FFIEC,” tambah Kothari. 

Pemimpin tim intelijen ancaman Digital Shadows Alec Alvarado mencatat bahwa kasus-kasus yang mengungkapkan penargetan terus-menerus dari layanan email berbasis cloud sering kali menghasilkan kompromi yang lebih luas. 

Pengambilalihan akun terus muncul sebagai masalah signifikan bagi organisasi seiring dengan pertumbuhan basis data kredensial yang terbuka, kata Alvarado. 

“Implikasi kedua adalah potensi paparan yang dapat dihasilkan dari satu kompromi. Pelaku ancaman dapat dengan mudah melakukan gerakan lateral dan berporos melintasi infrastruktur yang disusupi setelah mereka mendapatkan akses awal,” kata Alvarado kepada ZDNet. 

admin

Hai, nama saya Dwiyanto Nugraha. Saya adalah satu dari sekian banyak pecinta "Mie Siram" di Indonesia.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.