18, сентябрь 2019  —  Чикагская компания по торговле ценными бумагами была оштрафована на 1,5 млн . долларов США за неисполнение отраслевых стандартов по защите конфиденциальных данных .  По мнению экспертов Zecurion, причиной инцидента стал недостаток организационных мер защиты информации .

Комиссия по торговле товарными фьючерсами США (CFTC) провела расследование   в отношении  Phillip Capital Incorporated (PCI) и пришла к выводу , что компания не принимала достаточных мер для контроля своих сотрудников и обеспечения защиты внутренних данных .

Как утверждает комиссия , именно несоблюдение компанией мер для обеспечения кибербезопасности стало причиной крупной утечки данных в 2018 году , в результате которой злоумышленникам удалось похитить у клиентов PCI около 1 миллиона долларов США .  Тогда , один из системных администраторов компании стал жертвой фишинга .

Также , федеральная комиссия в своем заявлении раскритиковала PCI за то , что компания слишком поздно сообщила своим клиентам о взломе и не успела оперативно отреагировать на инцидент . Помимо требования возместить клиентам 1 миллион долларов похищенных средств , комиссия дополнительно оштрафовала PCI на 500 000 долларов « за халатное отношение к безопасности и допущение возможности инцидента ». Таким образом , чистый убыток компании от утечки данных составил 1,5 миллиона долларов США .

По мнению руководителя аналитического центра Zecurion Владимира Ульянова , предотвратить подобные инциденты одними только техническими мерами недостаточно , со стороны компаний нужны и организационные мероприятия для сотрудников .

 « Когда речь идет о кибербезопасности , важно помнить , что это всегда комплекс мер , как технических , так и организационных . Допустим , очень хорошо , если компания использует в своей инфраструктуре DLP- решение для предотвращения утечек информации . Но без разъяснительной работы среди сотрудников , риск возникновения подобных ситуаций всегда будет высоким . Необходимо обучать персонал , как распознавать методики фишинга , противостоять манипуляциям « социальной инженерии » и т . д . Предупрежден – значит вооружен . Поэтому очень правильно , что ответственность за такие инциденты , в первую очередь , лежит на компании », — пояснил Ульянов .

Несмотря на то , что расследование CFTC по данному инциденту уже закончено , комиссия планирует и в дальнейшем внимательно следить за соблюдением норм информационной безопасности компаниями - торговцами ценными бумагами .  Опубликованный CFTC приказ также требует от PCI предоставления комиссии отчетов о принимаемых мерах по исправлению ситуации .