La Comisión de Bolsa y Valores anunció hoy que un corredor de bolsa y asesor de inversión con sede en Des Moines ha acordado pagar $ 1 millón para resolver los cargos relacionados con sus fallas en las políticas y procedimientos de ciberseguridad que rodean una intrusión cibernética que comprometió información personal de miles de clientes.

La SEC acusó a Voya Financial Advisors Inc. (VFA) de violar la Regla de Salvaguardias y la Regla de Robos Robados de Identidad, que están diseñadas para proteger la información confidencial del cliente y proteger a los clientes contra el riesgo de robo de identidad. Esta es la primera acción de cumplimiento de la SEC que impone infracciones de la regla de Robo de Identidad Robo de Identidad.

De acuerdo con la orden de la SEC, los intrusos cibernéticos suplantaron a los contratistas de VFA durante un período de seis días en 2016 llamando a la línea de soporte de VFA y solicitando que se restablezcan las contraseñas de los contratistas. Los intrusos usaron las nuevas contraseñas para obtener acceso a la información personal de 5,600 clientes de VFA.

La orden de la SEC encuentra que los intrusos luego usaron la información del cliente para crear nuevos perfiles de clientes en línea y obtener acceso no autorizado a los documentos de la cuenta para tres clientes. La orden también determina que la falta de VFA para rescindir el acceso de los intrusos se debió a deficiencias en sus procedimientos de ciberseguridad, algunos de los cuales habían estado expuestos durante una actividad fraudulenta similar previa. De acuerdo con la orden, VFA tampoco aplicó sus procedimientos a los sistemas utilizados por sus contratistas independientes, que constituyen la mayor parte de la fuerza de trabajo de VFA.

"Los clientes confían tanto su dinero como su información personal a sus corredores y asesores de inversión", dijo Stephanie Avakian, codirectora de la División de aplicación de la SEC. "VFA falló en sus obligaciones cuando sus deficiencias lo hicieron vulnerable a los intrusos cibernéticos que acceden a la información confidencial de miles de sus clientes".

"Este caso es un recordatorio para los corredores y asesores de inversión de que los procedimientos de ciberseguridad deben estar razonablemente diseñados para ajustarse a sus modelos comerciales específicos", dijo Robert A. Cohen, Jefe de la Unidad Cibernética de la División de Aplicación de la SEC. "También deben revisar y actualizar los procedimientos regularmente para responder a los cambios en los riesgos que enfrentan".

Sin admitir ni negar los hallazgos de la SEC, VFA accedió a ser censurada y pagar una multa de $ 1 millón y retendrá un consultor independiente para evaluar sus políticas y procedimientos para cumplir con la Regla de las Salvaguardas y la Regla de Robos Robados de Identidad y regulaciones relacionadas.

La investigación de la SEC fue realizada por Arsen Ablaev de la Cyber ​​Unit y Paul Montoya en la Oficina Regional de Chicago. El caso fue supervisado por Kathryn Pyszka en la Oficina Regional de Chicago y el Sr. Cohen. El examen que condujo a la investigación fue realizado por la Oficina Regional de Chicago con la asistencia del Programa Nacional de Exámenes. El equipo de examen incluyó a Kristine Baker, Stacey Gohl, Thu Bao Ta, David Mueller, Daniel Dewaal y Emilie Abate.

ALD/SEC