オーストラリアの金融規制当局は、金融サービス会社Fortnum Private Wealthが顧客を容認できないサイバーセキュリティリスクにさらしたとして、法的措置を開始しました。
オーストラリア証券投資委員会(ASIC)は、7月21日にニューサウスウェールズ(NSW)州最高裁判所に対し、この金融アドバイザリー会社に対する訴訟手続きを提出しました。
ASICは、Fortnum Private Wealthがサイバーセキュリティリスクに対処するための十分な方針、枠組み、システムおよび管理体制を整備していなかったと主張しています。
委員会は、これらの不備がFortnumの顧客および認定代表者(AR)がサイバーインシデントを経験する一因となったと主張しています。
あるインシデントでは、2022年9月に最大9,828人の顧客に関する200GB以上のデータが大規模に漏洩しました。この機密情報はその後、ダークウェブ上で公開されました。
複数回にわたり、脅威アクターがARのメールアカウントにアクセスし、それを利用して顧客にフィッシングメールを送信しました。
これらのインシデントのほとんどは、Fortnumが2021年4月に特定のサイバーセキュリティポリシーを導入した後に発生しました。ASICは、このポリシーが、特に高度な機密顧客データを扱う金融サービス会社として、サイバーセキュリティリスクを管理するための十分な対応ではなかったと主張しています。
このポリシーはその後、2023年5月に改訂されました。
訴訟で指摘された主なサイバーセキュリティ上の不備は以下の通りです:
- ARに対して、所定の最低限のサイバーセキュリティ教育またはトレーニングの実施を義務付けていなかった
- ARのサイバーセキュリティリスク管理枠組みを監督またはモニタリングしなかった
- サイバーセキュリティに関する専門知識や経験を持つ従業員がおらず、サイバーセキュリティポリシーの策定を支援する専門コンサルタントも雇用しなかった
- サイバーセキュリティやポリシー、枠組み、システム、管理体制に対応したリスク管理システムを有しておらず、AR全体でサイバーセキュリティリスクの特定や評価を可能にする体制がなかった
ASIC委員長のジョー・ロンゴ氏は、「Fortnumがサイバーセキュリティリスクを適切に管理できなかったことにより、同社およびその代表者、顧客がサイバー攻撃の容認できないリスクにさらされた」とコメントしました。
さらに、「ASICは企業のサイバーセキュリティ責任を強調してきました。特にオーストラリアの金融サービスライセンス保持者は、多様な機密情報や秘密情報を保有しています」と述べました。
ASICは、Fortnumの不備に関する裁判所からの宣言と、同社に対する金銭的制裁を求めていると述べました。
Financial Newswireに掲載された声明の中で、FortnumのCEOであるマット・ブラウン氏は、同社が適切なサイバーセキュリティ管理を適用しなかったというASICの主張を「強く否定する」と述べました。
「本件は現在裁判所で審理中のため、FPWとしてこれ以上のコメントは差し控えます」とブラウン氏は付け加えました。
翻訳元: https://www.infosecurity-magazine.com/news/australian-alleges-financial-cyber/