Das Wertpapier- und Börsenkommission gab letzte Woche eine Cybersicherheitsverletzung durch den Titelversicherungsriesen bekannt Erste amerikanische Financial Corp. nachdem das Unternehmen von einem Verstoß erfuhr, der die Sozialversicherungsnummern und sensiblen Finanzinformationen von Kunden offenlegte, jedoch nicht reagierte.
First American stimmte einer Unterlassungsverfügung zu und zahlt eine Strafe von 487.616 US-Dollar.
Laut der SEC wurde First American im Jahr 2019 von Brian Krebs, einem Cybersicherheitsjournalisten, über eine Programmverletzung informiert, die zur Weitergabe der Bilder aus dem Jahr 2003 führte – darunter 800 Millionen Bilder, von denen einige die Sozialversicherungsnummern der Kunden enthielten und vertrauliche Daten enthielten Finanzinformation.
Als Reaktion darauf gab First American eine Pressemitteilung heraus und stellte ein Formular 8-K bereit, aber die SEC stellte fest, dass die für die öffentlichen Erklärungen verantwortlichen leitenden Angestellten „nicht über bestimmte Informationen informiert wurden, die für ihre Beurteilung der Offenlegungsreaktion des Unternehmens auf die Verwundbarkeit und das Ausmaß des daraus resultierenden Risikos.“
Die SEC stellte außerdem fest, dass die leitenden Angestellten von First American nicht über die Schwachstelle informiert waren und es versäumt hatten, sie gemäß den Richtlinien des Unternehmens zu beheben.
Worauf sollten Kreditgeber bei der Auswahl der Hypothekentechnologie achten?
Die Chefredakteurin von HousingWire, Sarah Wheeler, sprach kürzlich mit dem SimpleNexus-Mitbegründer Ben Miller über die Wahl einer Hypothekentechnologie, die die Benutzerfreundlichkeit verbessert.
Präsentiert von: SimpleNexus
„Das Senior Management von First American war sich dieser Schwachstelle und des Versäumnisses des Unternehmens, sie zu beheben, überhaupt nicht bewusst“, sagte Kristina Littman, Leiterin der Cybereinheit der SEC-Enforcement-Abteilung. „Emittenten müssen sicherstellen, dass für Anleger wichtige Informationen auf der Karriereleiter an die für die Offenlegung verantwortlichen Personen gemeldet werden.“
Laut SEC wurde das Datenleck als Sicherheitsproblem der Stufe 3 eingestuft, was bedeutet, dass es innerhalb von 45 Tagen behoben werden musste. Ein Schreibfehler führte jedoch dazu, dass das Problem als „Level 2“-Sicherheitsproblem erfasst wurde, das innerhalb von 90 Tagen behoben werden muss.
Ist die für die Behebung des Problems verantwortliche Person aufgrund der oben genannten Fristen nicht in der Lage, muss der Mitarbeiter seinen Vorgesetzten bitten, sich mit der Informationssicherheitsabteilung des Unternehmens in Verbindung zu setzen, um einen Abhilfeplan und einen vorgeschlagenen Zeitvoranschlag zu besprechen.
Laienhaft ausgedrückt: Ein First American-Mitarbeiter habe weder eine Verzichtserklärung noch eine Risikoakzeptanz beantragt, teilte die SEC mit.
„Wenn es technisch nicht möglich ist, die Schwachstelle zu beheben, oder wenn die Behebung untragbar ist, müssen sich der Mitarbeiter und sein Management an wenden [SEC’s Information Security division] um eine Verzichts- oder Risikoakzeptanzgenehmigung zu erhalten “, sagte die SEC in einer Erklärung.
Das Unternehmen sagte im Jahr 2019, dass eine unabhängige Untersuchung des Verstoßes 32 Verbraucher identifiziert habe, auf deren personenbezogene Daten wahrscheinlich ohne Genehmigung zugegriffen wurde, sagte First American in einer regulatorischenEinreichungim August 2019.
First American ist das zweitgrößte Hypotheken- und Abwicklungsunternehmen in den USA und wickelt jedes Jahr fast ein Viertel aller Schließungen ab. Nach Angaben der SEC erzielt das Unternehmen fast 92 % seines Umsatzes aus seinem Titelversicherungssegment.
Die Firma berichtete im Jahr 2020 einen Gesamtumsatz von 7,1 Milliarden US-Dollar Ergebnisbericht — ein Anstieg von 14 % gegenüber dem Vorjahr, so die Beamten. Der Nettogewinn betrug 696,4 Millionen US-Dollar oder 6,16 US-Dollar pro verwässerter Aktie und eine Wertminderung vor Steuern von 54,9 Millionen US-Dollar oder 45 Cent pro verwässerter Aktie. First American kündigte außerdem einen Cashflow von insgesamt 1,1 Milliarden US-Dollar im Jahr 2020, eine Eigenkapitalrendite von 14,9% und eine Segmentmarge vor Steuern von 15,7% für Titelversicherungen und Dienstleistungen an.
Der Beitrag First American vergleicht Cybersicherheitsfall mit SEC zuerst auf HousingWire.