SEC gir NYSEs morselskap en bot på 10 millioner dollar for ikke umiddelbart å rapportere et hack

0
37
Yuichiro Chino/Getty Images

US Securities and Exchange Commission (SEC) har gitt Intercontinental Exchange (ICE) en bot på 10 millioner dollar for ikke å umiddelbart varsle datterselskapene sine, inkludert New York Stock Exchange, om et brudd på nettsikkerheten.

USA-baserte operatører av finansbørser og oppgjørssentraler har gått med på å betale boten, sa SEC i en uttalelse onsdag.

Også: De beste VPN-tjenestene: Ekspert testet og gjennomgått< /strong>

Regulatoren avslørte at en tredjepart i april 2021 hadde fortalt ICE om et potensielt systembrudd som involverte en sårbarhet i sistnevntes VPN (virtuelt privat nettverk). Etter sin interne undersøkelse, konstaterte ICE umiddelbart at en trusselaktør hadde satt inn ondsinnet kode i en VPN-enhet som ble brukt for å få ekstern tilgang til ICEs bedriftsnettverk. 

Selskapet videreformidlet imidlertid ikke dette informasjon til juridiske og overholdelsesansvarlige ved sine heleide datterselskaper, noe som bryter med sine egne retningslinjer for rapportering av cyberhendelser.

Som et resultat var ni av datterselskapene, som inkluderer ICE Clear Europe og Securities Industry Automation, ikke i stand til å vurdere bruddet. Dette brøt deres regulatoriske avsløringsforpliktelser skissert i Regulation Systems Compliance and Integrity (SCI), sa SEC. Forskrift SCI lister opp regler som tar sikte på å adressere IT-sårbarheter i de amerikanske verdipapirmarkedene. 

I henhold til disse lovene er SCI-enheter pålagt å informere SEC om et cyberinntrenging og gi en oppdatering innen 24 timer, med mindre de er i stand til å "umiddelbart konkludere eller rimelig anslå" at hendelsen ikke ville ha noen innvirkning på deres operasjoner.

Også: Cybersecurity 101: Alt om hvordan du kan beskytte personvernet ditt og være trygg på nettet

"Respondentene i dagens håndhevelsestiltak inkluderer verdens største børs og en rekke andre fremtredende mellommenn som, gitt sine roller i våre markeder, er underlagt strenge rapporteringskrav når de opplever cyberhendelser," Gurbir S. Grewal, direktøren for SECs håndhevingsavdeling, sa i en uttalelse. “Under Reg SCI må de umiddelbart varsle SEC om cyberinntrenging i relevante systemer som de ikke med rimelighet kan anslå å være de miminis-hendelser med en gang.” flere rapporter på tvers av flere SCI-enheter, for å ta skritt for å beskytte markeder og investorer, sa Grewal.

Grewal bemerket at det i stedet var SEC-ansatte som tok kontakt med ICE mens de vurderte rapporter om lignende cybersårbarheter, og at ICE tok fire dager å vurdere virkningen og konkluderte internt med at det var en bagatellmessig begivenhet.

Også: Den største utfordringen med økte cybersikkerhetsangrep 

"Når det gjelder cybersikkerhet, spesielt hendelser hos kritiske markedsformidlere, teller hvert sekund og fire dager kan være en evighet," Grewal sa.

I følge SEC-uttalelsen ble ICE og dets datterselskaper enige om en stanse-og-avstå-ordre i tillegg til pengestraffen, uten å innrømme eller avkrefte SECs funn.