美国金融业监管局（FINRA）对 Osaic Wealth 公司（前称 Royal Alliance Associates 公司）和 Securities America 公司（前称 Securities America 公司）处以罚款。

从 2021 年 1 月到 2023 年 3 月，Osaic Wealth 和 Securities America 均未能建立和维护合理设计的监管系统，包括书面监管程序 (WSP)，以保护客户记录和信息。

在 2021 年 1 月至 2023 年 3 月期间，Osaic Wealth 和 Securities America 各自依赖其母公司提供的企业级网络安全计划；然而，在 2023 年 3 月之前，每家公司的 WSP 都允许独立的分支机构制定自己的安全和数据丢失预防控制措施。

在 2023 年 3 月之前，Osaic Wealth 和 Securities America 都没有要求，因此许多分支机构都缺乏数据丢失预防控制措施，如所有电子邮件账户的多因素验证、对包含客户非公开个人信息的外发电子邮件进行加密，以及维护电子邮件访问日志。

在相关期间之前，Osaic Wealth 和 Securities America 已从 FINRA 的检查中得知，它们的分支机构缺乏合理的网络安全控制措施。此外，在相关期间，每家公司都经历了多次网络入侵，其中许多涉及电子邮件接管，而这些入侵本可以通过多因素身份验证等方式加以防止。

这些入侵使未经授权的第三方得以获取客户的非公开个人信息，包括社会保险号、出生日期、银行账号和驾驶执照信息等。具体来说

• Osaic Wealth 遭受了 16 次网络入侵，导致约 28,000 名客户的非公开个人信息泄露。
• Securities America 经历了 8 次网络入侵，导致至少 4,640 名客户的非公开个人信息泄露。

在每次入侵事件发生后，Osaic Wealth 和 Securities America 都会遵循其网络安全事件响应政策，聘请外部网络安全顾问协助进行事件响应，并通知受影响的客户以及 FINRA。

然而，直到 2023 年 3 月，Osaic Wealth 和 Securities America 都没有加强对分支机构的最低网络安全要求，两家公司的个别分支机构也没有在整个相关期间加强控制措施，例如要求多因素身份验证。此外，两家公司也没有实施全公司范围的程序，要求在发送电子邮件时对客户的非公开个人信息进行加密。

自 2023 年 3 月起，每家公司都要求对用于开展公司业务的所有电子邮件账户进行多因素身份验证，并制定监督多因素身份验证政策遵守情况的监督程序。

Osaic Wealth 和 Securities America 未能建立和维护合理设计的监督系统（包括 WSP）以保护客户记录和信息，因此违反了《保障监督规则》和 FINRA 第 3110 和 2010 条规则。

Osaic Wealth 已同意接受谴责和 15 万美元的罚款，Securities America 同意接受同样的处罚。