前情回顾·网络安全合规执法
安全内参2月12日消息,澳大利亚证券和投资委员会(ASIC)已成功申请,对FIIG Securities公司在2023年发生的一起数据泄露事件进行处罚。当时,这家金融机构数万名客户的敏感数据被泄露至互联网。
ASIC表示,澳大利亚联邦法院已裁定对FIIG Securities处以250万澳元(约合人民币1227元)罚金,并判令其支付50万澳元(约合人民币245万元)诉讼费用。
该金融服务公司在2023年6月向客户告知了此次泄露事件。安全研究人员认为,ALPHV勒索软件组织是此次攻击的幕后黑手。
FIIG 385GB内部数据泄露,调查发现安全合规存在多项失误
去年3月,ASIC对FIIG Securities提起诉讼,指控其在长达4年的时间里未能实施充分的网络安全措施。ASIC指称,这一失误使黑客得以入侵FIIG Securities的网络。
ASIC表示,约385GB的数据被泄露至互联网,其中包含客户的敏感信息,例如驾照信息、护照信息、银行账号详情以及税号。
FIIG Securities后来承认,在此次事件中约有1.8万名客户的数据可能受到影响。
FIIG Securities还承认在合规方面存在失误,导致未能更早发现此次数据泄露。
ASIC表示,2019年至2023年期间存在多项失误,包括FIIG Securities未分配必要的财务资源以聘用具备资质和经验的人员,或未投入足够的技术资源用于管理网络安全。
此外,还存在其他失误,例如未对远程访问实施多因素身份验证(MFA),以及缺乏强密码策略、对特权账号的访问控制不足、未对防火墙和安全软件进行适当配置等。
该证券监管机构列举的失误还包括未定期开展渗透测试和漏洞扫描。
ASIC发现,员工未接受网络安全意识培训,也未制定并每年进行测试的适当事件响应计划。
监管部门要求金融机构加强安全防范措施
ASIC要求像FIIG Securities这样的投资牌照持有人采取强制性措施,以保护其投资者客户免受网络安全风险。
ASIC副主席Sarah Court在一份声明中表示:“网络攻击和数据泄露在规模和复杂性方面持续升级,控制措施不足会使客户和公司面临真实风险。”
去年6月,FIIG Securities被日本野村综合研究所旗下的澳大利亚投资交易所有限公司(AUSIEX)收购,目前已成为其子公司。
AUSIEX首席执行官Patrick Salis发表声明称,FIIG Securities接受联邦法院关于2023年发生的网络安全事件的裁决,并将履行所有相关义务。
Salis表示:“我们在整个过程中全面配合,并持续加强我们的系统、治理和控制措施。”
他补充说,没有客户资金受到影响。
参考资料:https://www.itnews.com.au/news/fiig-penalised-25m-for-cyber-security-failures-623490
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
