Een gebrek aan voldoende beveiligingsmaatregelen bij de Australische investeringsmaatschappij FIIG Securities Limited maakte een datalek in 2023 mogelijk, oordeelt de Australian Securities & Investments Commission (ASIC). Bij het lek is een grote hoeveelheid gevoelige informatie van klanten buitgemaakt, die later online is gepubliceerd. De toezichthouder start een civiele procedure tegen de investeringsmaatschappij.

Bij FIIG vond medio 2023 een omvangrijk datalek plaats, waarbij 385GB aan gevoelige data is gestolen en waardoor 18.000 klanten zijn getroffen. De toezichthouder ASIC deed naar aanleiding van dit datalek onderzoek naar de beveiligingsmaatregelen van FIIG, en concludeert nu dat deze onder de maat waren. Het oordeelt dat de investeringsmaatschappij hierdoor de voorwaarden om in Australië financiële diensten te mogen aanbieden heeft overtreden.

'Fouten maakte datalek mogelijk'

"De cybersecurityfouten van FIIG maakten het mogelijk voor een hacker om het IT-netwerk binnen te dringen en onopgemerkt te blijven van 19 mei 2023 tot 8 juni 2023, wat leidde tot de diefstal van persoonlijke informatie en de daaropvolgende publicatie van klantgegevens op het dark web", schrijft ASIC.

Bij het datalek is gevoelige informatie van zo'n 18.000 klanten buitgemaakt. Het gaat daarbij onder meer om namen, adresgegevens, geboortedata, rijbewijzen, paspoorten, bankgegevens en belastinggegevens. Het kondigt aan een civiele procedure te starten tegen FIIG naar aanleiding van zijn conclusies. ASIC: "Australische financiële dienstverleners zijn wettelijk verplicht om adequate systemen voor het beheer van cybersecurityrisico's te hebben. We stellen dat de ontoereikende cybersecuritymaatregelen van FIIG het bedrijf en zijn vertrouwelijke klantinformatie kwetsbaar en blootgesteld hebben aan aanzienlijke risico's."