USA: s Securities and Exchange Commission (SEC) sanktionerade idag åtta företag i tre åtgärder för brister i deras cybersäkerhetspolicyer och förfaranden som resulterade i att e -postkontoövertaganden avslöjade personuppgifter om tusentals kunder och klienter på varje företag.

De åtta företag som har kommit överens om att reglera avgifterna är: Cetera Advisor Networks LLC, Cetera Investment Services LLC, Cetera Financial Specialists LLC, Cetera Advisors LLC och Cetera Investment Advisers LLC (tillsammans Cetera Entities); Cambridge Investment Research Inc. och Cambridge Investment Research Advisors Inc. (tillsammans, Cambridge); och KMS Financial Services Inc. (KMS). Alla var registrerade av kommissionen som mäklare, investeringsrådgivningsföretag eller båda.

Enligt SEC: s order mot Cetera -enheternamellan november 2017 och juni 2020 övertogs molnbaserade e-postkonton för över 60 Cetera Entities personal av obehöriga tredje parter, vilket resulterade i att personligt identifierande information (PII) exponerades för minst 4 388 kunder och klienter.

Inget av de övertagna kontona skyddades på ett sätt som överensstämde med Cetera -enheternas policyer. SEC: s order visar också att Cetera Advisors LLC och Cetera Investment Advisers LLC skickade meddelanden om överträdelser till företagets kunder som inkluderade vilseledande språk som tyder på att meddelandena utfärdades mycket tidigare än de faktiskt var efter upptäckten av incidenterna.

Enligt SEC: s order mot Cambridgemellan januari 2018 och juli 2021 övertogs molnbaserade e-postkonton för över 121 representanter från Cambridge av obehöriga tredje parter, vilket resulterade i PII-exponering för minst 2177 Cambridge-kunder och klienter.

Enligt SEC: s befallning fastän Cambridge upptäckte det första övertagandet av e-postkontot i januari 2018, misslyckades det med att vidta och genomföra företagsövergripande förbättrade säkerhetsåtgärder för sina företrädares molnbaserade e-postkonton fram till 2021, vilket resulterade i exponering och potentiell exponering av ytterligare kund- och klientregister och information.

Enligt SEC: s order mot KMSmellan september 2018 och december 2019 togs molnbaserade e-postkonton för 15 KMS finansiella rådgivare eller deras assistenter över av obehöriga tredje parter, vilket resulterade i PII-exponering för cirka 4 900 KMS-kunder och klienter.

I SEC: s order framgår vidare att KMS inte har antagit skriftliga policyer och förfaranden som kräver ytterligare företagsövergripande säkerhetsåtgärder förrän i maj 2020, och inte fullt ut genomfört dessa ytterligare säkerhetsåtgärder för hela företaget förrän i augusti 2020, vilket placerar ytterligare kund- och klientregister och information på risk.

I SEC: s order mot vart och ett av företagen konstateras att de har brutit mot regel 30 (a) i förordning SP, även känd som skyddsregeln, som är utformad för att skydda konfidentiell kundinformation. I SEC: s föreläggande mot Cetera-enheterna framgår också att Cetera Advisors LLC och Cetera Investment Advisers LLC brutit mot avsnitt 206 (4) i rådgivarlagen och regel 206 (4) -7 i samband med sina anmälningar om brott mot kunder.

Utan att erkänna eller förneka SEC: s slutsatser gick varje företag med på att upphöra och avstå från framtida kränkningar av de debiterade bestämmelserna, att bli censurerade och att betala en straffavgift. Cetera -enheterna kommer att betala ett straff på 300 000 dollar, Cambridge kommer att betala 250 000 dollar, och KMS kommer att betala ett straff på 200 000 dollar.



Source link