FILE PHOTO – The Voya Financial Inc. logo is displayed on a screen on the floor of the New York Stock Exchange (NYSE) in New York, U.S., May 3, 2018. REUTERS/Brendan McDermid

 

La Securities and Exchange Commission a annoncé aujourd’hui qu’un courtier basé à Des Moines et conseiller en investissement a accepté de verser 1 million $ pour régler les frais liés à ses défaillances dans les politiques de cybersécurité et les procédures entourant une intrusion cybernétique qui a compromis les renseignements personnels de milliers de clients.

La SEC chargé Voya Financial Advisors Inc. (VFA) d’avoir violé les garanties Règle et le vol d’identité Red Flags règle, qui sont conçus pour protéger les informations confidentielles des clients et de protéger les clients contre les risques de vol d’identité. Ceci est la première violation de la charge des mesures d’application de la SEC le vol d’identité rouge Règle Flags.

Selon l’ordre de la SEC, les intrus de cyber-entrepreneurs VFA sur emprunt d’identité d’une période de six jours en 2016 en appelant la ligne de soutien de VFA et demandant que soient remis à zéro les mots de passe des entrepreneurs. Les intrus ont utilisé les nouveaux mots de passe pour accéder aux informations personnelles de 5.600 clients VFA. L’ordonnance de la SEC estime que les intrus ont ensuite utilisé les informations client pour créer de nouveaux profils de clients en ligne et obtenir un accès non autorisé aux documents de compte pour trois clients. L’ordre constate également que l’incapacité de mettre fin à l’accès des intrus de VFA concernaient les faiblesses de ses procédures de sécurité cybernétique, dont certains avaient été exposés pendant une activité frauduleuse similaire avant. Selon l’ordre, VFA a également omis d’appliquer ses procédures aux systèmes utilisés par ses sous-traitants indépendants, qui représentent la plus grande partie de la main-d’œuvre de VFA.

« Les clients confient leur argent à la fois et leurs renseignements personnels à leurs courtiers et conseillers en investissement », a déclaré Stephanie Avakian, co-directeur de la Division de l’application de la SEC. « VFA a échoué dans ses obligations lorsque ses lacunes rendaient vulnérable aux intrus cyber accéder aux informations confidentielles de milliers de ses clients. »

« Cette affaire est un rappel aux courtiers et aux conseillers en placement que les procédures de sécurité cybernétique doivent être conçues raisonnablement pour adapter leurs modèles d’affaires spécifiques », a déclaré Robert A. Cohen, chef de l’unité Cyber ​​de la Division de l’application de la SEC. « Ils doivent aussi examiner et mettre à jour les procédures régulièrement pour répondre à l’évolution des risques auxquels ils sont confrontés. »

Sans admettre ou nier les conclusions de la SEC, VFA a accepté d’être censuré et payer une pénalité de 1 million $, et conservera un consultant indépendant pour évaluer ses politiques et procédures pour le respect des garanties Règle et le vol d’identité Drapeaux rouges Règle et des règlements connexes.

L’enquête de la SEC a été menée par Arsen Ablaev de l’unité Cyber ​​et Paul Montoya dans le Bureau régional de Chicago. L’affaire a été supervisé par Kathryn Pyszka au bureau régional de Chicago et M. Cohen. L’examen qui a mené à l’enquête a été menée par le Bureau régional de Chicago avec l’aide du Programme national des examens. L’équipe d’examen comprenait Kristine Baker, Stacey Gohl, jeu Bao Ta, David Mueller, Daniel Waal et Emilie Abate.