FIIG Securities成为澳大利亚首家因网络安全漏洞而被罚款的金融服务牌照持有者。

澳大利亚证券和投资委员会（ASIC）已成功申请，对FIIG Securities公司在2023年发生的一起数据泄露事件进行处罚。当时，这家金融机构数万名客户的敏感数据被泄露至互联网。

ASIC表示，澳大利亚联邦法院已裁定对FIIG Securities处以250万澳元（约合人民币1227元）罚金，并判令其支付50万澳元（约合人民币245万元）诉讼费用。

该金融服务公司在2023年6月向客户告知了此次泄露事件。安全研究人员认为，ALPHV勒索软件组织是此次攻击的幕后黑手。

FIIG 385GB内部数据泄露，

调查发现安全合规存在多项失误

去年3月，ASIC对FIIG Securities提起诉讼，指控其在长达4年的时间里未能实施充分的网络安全措施。ASIC指称，这一失误使黑客得以入侵FIIG Securities的网络。

ASIC表示，约385GB的数据被泄露至互联网，其中包含客户的敏感信息，例如驾照信息、护照信息、银行账号详情以及税号。

FIIG Securities后来承认，在此次事件中约有1.8万名客户的数据可能受到影响。

FIIG Securities还承认在合规方面存在失误，导致未能更早发现此次数据泄露。

ASIC表示，2019年至2023年期间存在多项失误，包括FIIG Securities未分配必要的财务资源以聘用具备资质和经验的人员，或未投入足够的技术资源用于管理网络安全。

此外，还存在其他失误，例如未对远程访问实施多因素身份验证（MFA），以及缺乏强密码策略、对特权账号的访问控制不足、未对防火墙和安全软件进行适当配置等。

该证券监管机构列举的失误还包括未定期开展渗透测试和漏洞扫描。

ASIC发现，员工未接受网络安全意识培训，也未制定并每年进行测试的适当事件响应计划。

监管部门要求金融机构

加强安全防范措施

ASIC要求像FIIG Securities这样的投资牌照持有人采取强制性措施，以保护其投资者客户免受网络安全风险。

ASIC副主席Sarah Court在一份声明中表示：“网络攻击和数据泄露在规模和复杂性方面持续升级，控制措施不足会使客户和公司面临真实风险。”

去年6月，FIIG Securities被日本野村综合研究所旗下的澳大利亚投资交易所有限公司（AUSIEX）收购，目前已成为其子公司。

AUSIEX首席执行官Patrick Salis发表声明称，FIIG Securities接受联邦法院关于2023年发生的网络安全事件的裁决，并将履行所有相关义务。

Salis表示：“我们在整个过程中全面配合，并持续加强我们的系统、治理和控制措施。”

他补充说，没有客户资金受到影响。

参考资料：itnews.com

文章来源 ：安全内参