澳大利亚监管机构指控金融公司置客户于不可接受网络风险

HackerNews 编译，转载请注明出处：

澳大利亚金融监管机构已对金融服务公司Fortnum Private Wealth采取法律行动，指控该公司使客户面临不可接受的网络安全风险。

澳大利亚证券与投资委员会（ASIC）于7月21日在新南威尔士州（NSW）最高法院对这家财务咨询公司提起诉讼。

ASIC声称Fortnum Private Wealth未能制定充分的政策、框架、系统和控制措施来应对网络安全风险。

该委员会指控，这些失误导致Fortnum的许多客户和授权代表（ARs）遭遇了网络事件。

其中一起事件导致2022年9月发生了大规模数据泄露，涉及高达9828名客户的超过200GB数据。这些机密信息随后被发布在暗网上。

在多次事件中，威胁行为者成功访问了授权代表的电子邮件账户，并利用这些账户向客户发送网络钓鱼邮件。

这些事件大多发生在Fortnum于2021年4月推出一项具体的网络安全政策之后。ASIC辩称，该政策不足以有效管理网络安全风险，尤其对于一家负责处理高度敏感客户数据的金融服务公司而言。

该政策后来在2023年5月进行了修订。

诉讼中强调的主要网络安全失误包括：

1. 未要求授权代表接受规定的最低限度的网络安全教育或培训；
2. 未能监督或监控其授权代表的网络安全风险管理框架；
3. 未配备拥有网络安全专业知识和经验的员工，也未聘请专业顾问协助制定其网络安全政策；
4. 未能建立解决网络安全问题的风险管理系统，或未能制定可识别和评估其所有授权代表网络安全风险的政策、框架、系统或控制措施。

ASIC表示，正在寻求法院宣布Fortnum的违规行为，并对该公司处以经济处罚。

Fortnum首席执行官马特·布朗（Matt Brown）在Financial Newswire发表的声明中表示，该公司“强烈反驳”ASIC关于其未能实施适当网络安全控制的指控。布朗补充道：“由于此事现已进入法庭程序，Fortnum目前无法进一步置评。”

消息来源：infosecurity-magazine；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文