La vicepresidenta de APRA, Margaret Cole, dijo que los ataques habían reforzado las preocupaciones del regulador sobre las debilidades en los controles de seguridad de la información de los fondos, ya que recordó a los fondos que tienen una obligación “no negociable” de mantener seguros el dinero y los datos de los miembros.
Presidente adjunto de APRA Margaret Cole.Credit: Louise Kennerley
“Los recientes ataques de relleno de credenciales han reforzado las preocupaciones de APRA sobre las debilidades persistentes en los controles de seguridad de la información de los licenciatarios RSE (entidad de jubilación registrable), particularmente aquellos relacionados con la autenticación”, dijo Cole.
“Aunque APRA ha enfatizado constantemente la importancia de la ciberseguridad sólida, está claro que los controles actuales no siempre son acorde con las vulnerabilidades y amenazas en evolución, ni con la criticidad y la sensibilidad de los datos y los activos de los miembros que protegen”.
La asociación de fondos de jubilación de Australia dijo que las expectativas de APRA eran justas y razonables, y el organismo de la industria había comenzado a trabajar para establecer controles mínimos de fraude en todo el sector.
Australiansuper dijo que el fondo tenía autenticación multifactor en su aplicación y portal web, y que también había sistemas de back-end que proporcionaban una mayor protección. Las actualizaciones de seguridad continuaron implementándose, dijo.
REST dijo que la autenticación multifactor se utilizó para una serie de procesos, incluidos los inicios de sesión de acceso a los miembros y el registro de la aplicación, y también supervisó el fraude de otras maneras.
CBUS dijo que la autenticación multifactor ya estaba en su lugar para los cambios clave en las cuentas de los miembros, incluso para cambiar la contraseña o los datos de contacto, y para solicitar pagos o retiros. El fondo dijo en abril que detectó un aumento en los intentos de inicio de sesión, pero no encontró evidencia de que los fondos fueran robados o de los atacantes que acceden a la información o cuentas personales de los miembros.
Australian Retirement Trust dijo que el Fondo había introducido la autenticación de múltiples factores el año pasado y que continuaría trabajando estrechamente con los reguladores para apoyar a los miembros, incluida la búsqueda de ayudar a los miembros que no habían optado por la autenticación multifactor.
Insignia dijo que tenía una autenticación multifactor en su lugar para expandirse, la plataforma dirigida al ciberataque de este año, para actividades clave como registro, retiros y cambios de cuenta bancaria.
HostPlus también ya tiene autenticación multifactor en su lugar.
El boletín de recapitulación del mercado es una envoltura de la negociación del día. Consíguelo cada tarde de lunes a viernes.
