18 сентября 2019 г.
Чикагская компания по торговле ценными бумагами была оштрафована на 1,5 млн. долларов США за неисполнение отраслевых стандартов по защите конфиденциальных данных. По мнению экспертов Zecurion, причиной инцидента стал недостаток организационных мер защиты информации.
Комиссия по торговле товарными фьючерсами США (CFTC) провела расследование в отношении Phillip Capital Incorporated (PCI) и пришла к выводу, что компания не принимала достаточных мер для контроля своих сотрудников и обеспечения защиты внутренних данных.
Как утверждает комиссия, именно несоблюдение компанией мер для обеспечения кибербезопасности стало причиной крупной утечки данных в 2018 году, в результате которой злоумышленникам удалось похитить у клиентов PCI около 1 миллиона долларов США. Тогда, один из системных администраторов компании стал жертвой фишинга.
Также, федеральная комиссия в своем заявлении раскритиковала PCI за то, что компания слишком поздно сообщила своим клиентам о взломе и не успела оперативно отреагировать на инцидент. Помимо требования возместить клиентам 1 миллион долларов похищенных средств, комиссия дополнительно оштрафовала PCI на 500 000 долларов «за халатное отношение к безопасности и допущение возможности инцидента». Таким образом, чистый убыток компании от утечки данных составил 1,5 миллиона долларов США.
По мнению руководителя аналитического центра Zecurion Владимира Ульянова, предотвратить подобные инциденты одними только техническими мерами недостаточно, со стороны компаний нужны и организационные мероприятия для сотрудников.
«Когда речь идет о кибербезопасности, важно помнить, что это всегда комплекс мер, как технических, так и организационных. Допустим, очень хорошо, если компания использует в своей инфраструктуре DLP-решение для предотвращения утечек информации. Но без разъяснительной работы среди сотрудников, риск возникновения подобных ситуаций всегда будет высоким. Необходимо обучать персонал, как распознавать методики фишинга, противостоять манипуляциям „социальной инженерии“ и т.д. Предупрежден — значит вооружен. Поэтому очень правильно, что ответственность за такие инциденты, в первую очередь, лежит на компании», — пояснил Ульянов.
Несмотря на то, что расследование CFTC по данному инциденту уже закончено, комиссия планирует и в дальнейшем внимательно следить за соблюдением норм информационной безопасности компаниями-торговцами ценными бумагами. Опубликованный CFTC приказ также требует от PCI предоставления комиссии отчетов о принимаемых мерах по исправлению ситуации.
Источник: Пресс-служба компании Zecurion