Coğrafi’ye özgü, dava, standartlar, düzenlemeler ve uyumluluk
Düzenleyiciler, Fiig’in 2023 ihlalini önlemek için temel güvenlik önlemlerinden yoksun olduğunu söylüyor
Jayant Chakravarti (@Jayjay_tech) •
17 Mart 2025
Avustralya finansal düzenleyicisi, önde gelen yatırım ve finansman şirketini bir tehdit oyuncusunun 18.000 müşterinin gizli kişisel bilgilerini çalmasını durdurmak için yeterli siber güvenlik kontrollerinden yoksun olmakla suçlayarak Fiig Securities Limited’e karşı dava açtı.
Ayrıca bakınız: Vmware karbon siyah uygulama kontrolü
Avustralya Menkul Kıymetler ve Yatırımlar Komisyonu, şirketin 2023 veri ihlaline yol açan dört yıllık bir süre boyunca “sistemik ve uzun süreli siber güvenlik başarısızlıklarını” gözlemledikten sonra Federal Mahkemede Brisbane merkezli FIIG menkul kıymetlerine dava açmaya karar verdiğini söyledi.
Avustralya Menkul Kıymetler ve Yatırımlar Komisyonu başkanı Joe Longo, “Bu konu, siber güvenlik sistemlerinizi ihmal etmenin tehlikeleri konusunda tüm şirketlere uyandırma çağrısı olarak hizmet etmelidir.” Dedi. “Siber güvenlik bir set değil ve unutmayı unutuyor. Tüm şirketlerin siber güvenlik önlemlerinin yeterliliğini proaktif ve düzenli olarak kontrol etmeleri gerekiyor.”
2019 arasında ve ihlal gerçekleşene kadar Fiig, güvenlik duvarlarını siber saldırılara karşı korumak için uygun şekilde yapılandıramadı; güvenlik açıklarını ele almak için yazılımı ve işletim sistemlerini güncelleyemedi veya yama; çalışanlara zorunlu siber güvenlik eğitimi vermedi; Komisyon, siber güvenliği yönetmek için insan, teknolojik ve finansal kaynaklardan yoksundu.
Tehdit aktörleri Haziran 2023’te Fiig’in ağını ihlal etti ve müşterilerin adları, adresleri, doğum tarihleri, sürücü lisansları, pasaportlar, banka hesapları ve vergi dosyası numaraları dahil olmak üzere yaklaşık 385GB gizli veri çaldı.
Yönetim altında 4,5 milyar dolardan fazla fona sahip olan ve 6.000’den fazla Avustralyalı yatırımcıya hitap eden yatırım ve finansman şirketi, Avustralya Siber Güvenlik Merkezi potansiyel kötü niyetli faaliyet konusunda uyarana kadar müşteri kayıtlarının ihlali hakkında bilgi sahibi değildi. Düzenleyiciler, Fiig’in olayı araştırmak ve yanıtlamak için uyarıdan altı günden fazla sürdüğünü söyledi.
O zaman, Fiig, siber olayı öğrendikten sonra “aciliyetle hareket ettiğini” söyledi ve BT sistemlerini ve müşteriye dönük portallarını çevrimdışı olarak aldı, etkilenen sistemleri izole ederek ve olayı araştırmak için üçüncü taraf siber güvenlik uzmanlarıyla çalıştı.
2023’te şirket, “Bu, sahip olduğumuz verilerin güvenliğini ve gizliliğini korumak için olayı araştırmak ve dahil etmek için acil olarak hareket ettik.” Dedi.
Dava açtığı finansal düzenleyici Çarşamba günü yaptığı açıklamada, Fiig’in siber güvenlik olayından yalnızca sorumlu olduğunu iddia etti, çünkü gerekli siber güvenlik önlemlerini veya vasıflı personeli verileri korumak için yasal yükümlülüklerine uymak için uygulamaya koyamadı. Düzenleyiciler, FIIG’nin Avustralya Finansal Hizmetler Lisansı olan kuruluşların yeterli risk yönetim sistemlerini sürdürmesini gerektiren Şirketler Yasası’nı ihlal ettiğini söyledi.
Fiig Securities, siber güvenlik başarısızlıkları için dava açan ilk Avustralya şirketi değil. Komisyon, Mayıs 2022’de, tehdit aktörlerinin 2014-2020 yılları arasında yetkili temsilcilere karşı birden fazla siber saldırı kurmasına izin veren önemli siber güvenlik başarısızlıkları nedeniyle Finansal Hizmetler Firması RI tavsiyesini başarıyla dava etti. Bu saldırılar, bin bin müşterinin ve diğerlerinin gizli ve hassas kişisel bilgilerini tehlikeye attı.
Federal mahkeme, RI’ye ASIC’in maliyetleri için 750.000 $ AU ödemesini emretti ve şirketi, yetkili temsili ağındaki riskleri ele almak için yeterli siber güvenlik önlemlerini belirlemek ve uygulamak için bir siber güvenlik uzmanına katılmaya yönlendirdi.
ASIC ayrıca, 2023’teki bir anketin Avustralya finansal kuruluşlarının üçte birinin siber olay müdahale planına sahip olmadığını, yaklaşık% 60’ının gizli bilgileri yeterince koruma kapasitesi olmadığını ve% 44’ünün üçüncü taraf veya tedarik zinciri risklerini yönetmediğini tespit ettikten sonra kuruluşları siber güvenliğe öncelik vermeye çağırdı.
Finansal düzenleyici, siber risk yönetimi ve operasyonel esnekliğin, bankaları, sigorta şirketlerini ve emeklilik mütevelli heyetlerini siber saldırılara daha dayanıklı hale getirme yılının öncelikleri arasında olduğunu söylüyor (bakınız: Avustralya bankaları, sigorta şirketlerinin güvenlik değerlendirmeleri yapması gerekiyor).
Avustralya İhtiyati Düzenleme Otoritesi, “orantılı bir yanıt alacağını ve denetimi yoğunlaştırabileceğini, kök neden analizi gerektirebileceğini, iyileştirme planlarını talep edebileceğini ve uygulama eylemini dikkate alabileceğini” söyledi.