los Comisión de Valores de EE.UU ha multado a varias firmas de corretaje con un total de $ 750,000 por exponer a los sensibles información de identificación personal de miles de clientes y clientes después de que los piratas informáticos se hicieran cargo de las cuentas de correo electrónico de los empleados.
Un total de ocho entidades pertenecientes a tres compañías han sido sancionadas por la SEC, incluyendo Cetera (Advisor Networks, Investment Services, Financial Specialists, Advisors y Investment Advisers), Cambridge Investment Research (Investment Research y Investment Research Advisors) y KMS Financial. Servicios.
En comunicado de prensa, la SEC anunció que había sancionado a las empresas por fallas en sus políticas y procedimientos de ciberseguridad que permitían a los piratas informáticos obtener acceso no autorizado a cuentas de correo electrónico basadas en la nube, exponiendo la información personal de miles de clientes y clientes en cada empresa.
En el caso de Cetera, la SEC dijo que las cuentas de correo electrónico basadas en la nube de más de 60 empleados fueron infiltradas por terceros no autorizados durante más de tres años, exponiendo al menos 4,388 información personal de los clientes.
La orden establece que ninguna de las cuentas contó con las protecciones requeridas por las políticas de Cetera, y la SEC también acusó a dos de las entidades de Cetera de enviar notificaciones de incumplimiento a los cli entes que contienen “lenguaje engañoso que sugiere que las notificaciones se emitieron mucho antes de lo que realmente fueron después del descubrimiento”. de los incidentes “.
La orden de la SEC contra Cambridge concluye que la exposición de la información personal de al menos 2177 clientes de Cambridge y clientes fue el resultado de laxitud la seguridad cibernética prácticas en la firma.
“Aunque Cambridge descubrió la primera toma de control de la cuenta de correo electrónico en enero de 2018, no adoptó ni implementó medidas de seguridad mejoradas en toda la empresa para las cuentas de correo electrónico basadas en la nube de sus representantes hasta 2021, lo que resultó en la exposición y la exposición potencial de clientes y registros de clientes adicionales. e información ”, dijo la SEC.
La orden contra KMS es similar; La orden de la SEC establece que los datos de casi 5,000 clientes y clientes fueron expuestos como resultado de que la compañía no adoptó políticas y procedimientos escritos que requieren medidas de seguridad adicionales en toda la empresa hasta mayo de 2020.
“Los asesores de inversiones y los corredores de bolsa deben cumplir con sus obligaciones con respecto a la protección de la información del cliente”, dijo Kristina Littman, jefa de la Unidad Cibernética de la División de Cumplimiento de la SEC. “No es suficiente escribir una política que requiera medidas de seguridad mejoradas si esos requisitos no se implementan o solo se implementan parcialmente, especialmente frente a ataques conocidos”.
Todas las partes acordaron resolver los cargos y no cometer futuras violaciones de las disposiciones imputadas, sin admitir o negar los hallazgos de la SEC. Como parte de los acuerdos, Cetera pagará una multa de $ 300,000, mientras que Cambridge y KMS pagarán multas de $ 250,000 y $ 200,000 respectivamente.
Cambridge le dijo a Heaven32 que no comenta sobre asuntos regulatorios, pero dijo que tiene y mantiene un grupo y procedimientos de seguridad de la información integral para garantizar que las cuentas de los clientes estén completamente protegidas. Cetera y KMS aún no han respondido.
Esta última acción de la SEC se produce pocas semanas después de que la Comisión ordenara al gigante de la educación y las publicaciones con sede en Londres Pearson pagará una multa de $ 1 millón por engañar a los inversores sobre una violación de datos en 2018 en la compañia.