El Tribunal Federal de Australia ha dictado sentencia en los procedimientos iniciados por la Comisión Australiana de Valores e Inversiones (ASIC) contra la compañía RI Advice hace un año, destacando su incapacidad para gestionar los riesgos de ciberseguridad y la resiliencia cibernética.
Por ello, el tribunal cree que RI Advice incumplió sus obligaciones, que requieren que la firma haga todo lo necesario para garantizar que los servicios financieros cubiertos por la licencia se brinden de manera eficiente y justa, y que cuente con sistemas adecuados de gestión de riesgos.
"No es posible reducir el riesgo de seguridad cibernética a cero, pero es posible reducir materialmente el riesgo de seguridad cibernética a través de una documentación y controles de seguridad cibernéticos adecuados a un nivel aceptable", ha comentado la juez encargada del caso.
La sentencia recoge que RI Advice deberá pagar 750.000 dólares por los costes derivados a la comisión, y supervisado por ASIC, tomar ciertas medidas correctivas. Tendrán un mes para contratar a un experto en ciberseguridad que asesore y ayude a su red de representantes.
La decisión se produce después de que una cantidad significativa de ciberincidentes afectaran a los representantes autorizados de RI Advice entre junio de 2014 y mayo de 2020. Esto llevó a que ASIC decidiera interponer una demanda contra la compañía por inclumplimiento de sus oblicaciones de licencia.
En un comunicado ASIC también hace hincapié en un ataque de fuerza bruta donde un agente malicioso desconocido obtuvo acceso al servidor de archivos de un representante autorizado y que estuvo presente desde diciembre de 2017 hasta abril de 2018 antes de ser detectado. La comisión de valores se lamenta de que pudiera comprometer información personal confidencial y sensible de varios miles de clientes.
Un posible precedente en jurisdicción
El caso podría suponer un precedente legal. Se trata de la primera vez que ASIC ha ejercido sus poderes de ejecución por la falta de una empresa para gestionar adecuadamente los riesgos de ciberseguridad. Además, también es la primera vez que el Tribunal Federal del país considera estos problemas en el contexto de la Ley de Sociedades.
Aunque la causa se aplica solo a los titulares de la Licencia de Servicios Financieros de Australia (AFSL) podría suponer una inspiración para otros países, aplicándose una presión creciente a las organizaciones para mejorar sus prácticas de seguridad de la información.