澳大利亚证券与投资委员会（ASIC）已对金融服务公司Fortnum Private Wealth提起法律诉讼，指控该公司未能充分管理网络安全风险，导致客户和授权代表（ARs）遭受多次网络事件。其中一起事件导致超过9800名客户的200GB敏感数据泄露并被发布在暗网上。ASIC认为Fortnum的网络安全政策和控制措施不足，未能有效识别和管理其授权代表的网络安全风险，包括缺乏对授权代表的网络安全培训和监督。ASIC正寻求法院认定Fortnum违规并对其处以罚款。Fortnum方面则“强烈反驳”这些指控。

🔒 ASIC对Fortnum Private Wealth提起诉讼，核心指控是该公司未能实施充分的网络安全政策、框架、系统和控制措施，导致客户面临不可接受的网络安全风险。这直接暴露了金融服务公司在数据保护方面的法律责任。

🚨 诉讼的具体事例包括Fortnum的授权代表账户被攻击，用于向客户发送网络钓鱼邮件，以及2022年9月发生的大规模数据泄露事件，泄露了高达9828名客户的200GB以上敏感数据，并被发布在暗网上。这凸显了威胁行为者对金融机构的持续攻击以及数据泄露的严重后果。

🧑‍🏫 ASIC强调的Fortnum的主要网络安全失误包括：未强制授权代表接受最低限度的网络安全教育或培训；未能监督和监控其授权代表的网络安全风险管理框架；缺乏具备网络安全专业知识的内部员工或外部顾问；以及未能建立有效的风险管理系统来识别和评估所有授权代表的网络安全风险。

⚖️ ASIC主席乔·隆戈明确表示，Fortnum涉嫌未能充分管理网络安全风险，将公司、其代表和客户置于高风险之下，并重申了对澳大利亚金融服务持牌机构的网络安全责任要求，因为它们持有大量敏感和机密信息。

🗣️ Fortnum首席执行官马特·布朗对ASIC的指控“强烈反驳”，但因案件已进入法庭程序，公司表示目前无法进一步置评。这表明了公司与监管机构在网络安全责任认定上的分歧，以及法律程序将是解决此事的关键。

HackerNews 编译，转载请注明出处：

澳大利亚金融监管机构已对金融服务公司Fortnum Private Wealth采取法律行动，指控该公司使客户面临不可接受的网络安全风险。

澳大利亚证券与投资委员会（ASIC）于7月21日在新南威尔士州（NSW）最高法院对这家财务咨询公司提起诉讼。

ASIC声称Fortnum Private Wealth未能制定充分的政策、框架、系统和控制措施来应对网络安全风险。

该委员会指控，这些失误导致Fortnum的许多客户和授权代表（ARs）遭遇了网络事件。

其中一起事件导致2022年9月发生了大规模数据泄露，涉及高达9828名客户的超过200GB数据。这些机密信息随后被发布在暗网上。

在多次事件中，威胁行为者成功访问了授权代表的电子邮件账户，并利用这些账户向客户发送网络钓鱼邮件。

这些事件大多发生在Fortnum于2021年4月推出一项具体的网络安全政策之后。ASIC辩称，该政策不足以有效管理网络安全风险，尤其对于一家负责处理高度敏感客户数据的金融服务公司而言。

该政策后来在2023年5月进行了修订。

诉讼中强调的主要网络安全失误包括：

未要求授权代表接受规定的最低限度的网络安全教育或培训；未能监督或监控其授权代表的网络安全风险管理框架；未配备拥有网络安全专业知识和经验的员工，也未聘请专业顾问协助制定其网络安全政策；未能建立解决网络安全问题的风险管理系统，或未能制定可识别和评估其所有授权代表网络安全风险的政策、框架、系统或控制措施。

ASIC主席乔·隆戈（Joe Longo）评论道：“Fortnum涉嫌未能充分管理网络安全风险，使该公司、其代表及其客户暴露在不可接受的网络攻击风险水平之下。”他补充说：“ASIC一直在强调公司的网络安全责任。尤其是澳大利亚金融服务持牌机构，持有大量敏感和机密信息。”

ASIC表示，正在寻求法院宣布Fortnum的违规行为，并对该公司处以经济处罚。

Fortnum首席执行官马特·布朗（Matt Brown）在Financial Newswire发表的声明中表示，该公司“强烈反驳”ASIC关于其未能实施适当网络安全控制的指控。布朗补充道：“由于此事现已进入法庭程序，Fortnum目前无法进一步置评。”

 

 

 

---

消息来源：infosecurity-magazine；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文