Yuichiro Chino/Getty ImagesThe Intercontinental Exchange (ICE) har blitt slått med en bot på 10 millioner dollar for ikke å umiddelbart varsle datterselskapene, inkludert New York Stock Exchange, om et brudd på nettsikkerheten.
Den USA-baserte operatøren av finansbørser og oppgjørssentraler har gått med på å betale boten, sa US Securities and Exchange Commission (SEC) i en uttalelse onsdag.
Også: The best VPN-tjenester: Eksperttestet og gjennomgått
Regulatoren avslørte at en tredjepart i april 2021 hadde fortalt ICE om et potensielt systembrudd som involverte en sårbarhet i sistnevntes VPN (virtuelt privat nettverk). Etter sin interne undersøkelse, konstaterte ICE umiddelbart at en trusselaktør hadde satt inn ondsinnet kode i en VPN-enhet som ble brukt for å få ekstern tilgang til ICEs bedriftsnettverk.
Selskapet videreformidlet imidlertid ikke dette informasjon til juridiske og overholdelsesansvarlige ved dets heleide datterselskaper, noe som bryter deres egne retningslinjer for rapportering av cyberhendelser.
Som et resultat var ni av datterselskapene, som inkluderte ICE Clear Europe og Securities Industry Automation, ikke i stand til å vurdere bruddet. Dette brøt deres regulatoriske avsløringsforpliktelser skissert i Regulation Systems Compliance and Integrity (SCI), sa SEC. Forskrift SCI lister opp regler som tar sikte på å adressere IT-sårbarheter i de amerikanske verdipapirmarkedene.
I henhold til disse lovene er SCI-enheter pålagt å informere SEC om et cyberinntrenging og gi en oppdatering innen 24 timer, med mindre de er i stand til å "umiddelbart konkludere eller rimelig anslå" at hendelsen ikke ville ha noen innvirkning på deres operasjoner.
Også: Cybersecurity 101: Alt om hvordan du kan beskytte personvernet ditt og være trygg på nettet
"Respondentene i dagens håndhevelsestiltak inkluderer verdens største børs og en rekke andre fremtredende mellommenn som, gitt sine roller i våre markeder, er underlagt strenge rapporteringskrav når de opplever cyberhendelser," xA0; sa Gurbir S. Grewal, direktør for SECs håndhevingsavdeling. “I henhold til Reg SCI må de umiddelbart varsle SEC om cyberinntrenging i relevante systemer som de ikke med rimelighet kan anslå å være de miminis-hendelser med en gang.” flere rapporter på tvers av flere SCI-enheter, for å ta skritt for å beskytte markeder og investorer, sa Grewal.
Han bemerket at det i stedet var SEC-ansatte som tok kontakt med ICE mens de vurderte rapporter om lignende cybersårbarheter.  ;
Grewal la til at ICE brukte fire dager på å vurdere effekten og konkluderte internt med at det var en bagatellmessig hendelse.
Også: Den største utfordringen med økt cybersikkerhetsangrep
"Når det gjelder cybersikkerhet, spesielt hendelser hos kritiske markedsformidlere, teller hvert sekund og fire dager kan være en evighet," Grewal sa.
I følge SEC-erklæringen, ble ICE og dets datterselskaper enige om en stanse-og-avstå-ordre i tillegg til pengestraffen, uten å innrømme eller avkrefte SECs funn.