Komisi Sekuritas dan Bursa AS (SEC) telah mendenda Intercontinental Exchange (ICE) sebesar $10 juta karena gagal segera memberi tahu anak perusahaannya, termasuk New York Stock Exchange, tentang pelanggaran keamanan siber.
Operator bursa keuangan dan lembaga kliring yang berbasis di AS telah setuju untuk membayar denda, kata SEC dalam a penyataan di hari Rabu.
Juga: Layanan VPN terbaik: Diuji dan ditinjau oleh para ahli
Regulator mengungkapkan bahwa pihak ketiga pada bulan April 2021 telah memberi tahu ICE tentang potensi pelanggaran sistem yang melibatkan kerentanan pada VPN (jaringan pribadi virtual) milik pihak ketiga. Setelah penyelidikan internal, ICE segera memastikan bahwa pelaku ancaman telah memasukkan kode berbahaya ke dalam perangkat VPN yang digunakan untuk mengakses jaringan perusahaan ICE dari jarak jauh.
Namun, perusahaan tidak menyampaikan informasi ini kepada petugas hukum dan kepatuhan di anak perusahaan yang sepenuhnya dimilikinya, sehingga melanggar kebijakan pelaporan insiden siber yang dimilikinya.
Akibatnya, sembilan anak perusahaannya, termasuk ICE Clear Europe dan Securities Industry Automation, tidak dapat menilai pelanggaran tersebut. Hal ini melanggar kewajiban pengungkapan peraturan yang diuraikan dalam Kepatuhan dan Integritas Sistem Regulasi (SCI), kata SEC. Peraturan SCI mencantumkan aturan yang ditujukan untuk mengatasi kerentanan TI di pasar sekuritas AS.
Berdasarkan undang-undang ini, entitas SCI diwajibkan untuk memberi tahu SEC tentang intrusi dunia maya dan memberikan pembaruan dalam waktu 24 jam, kecuali mereka dapat “segera menyimpulkan atau memperkirakan secara wajar” bahwa insiden tersebut tidak akan berdampak pada operasi mereka.
Juga: Keamanan Siber 101: Segala sesuatu tentang cara melindungi privasi Anda dan tetap aman saat online
“Responden dalam tindakan penegakan hukum saat ini mencakup bursa saham terbesar di dunia dan sejumlah perantara terkemuka lainnya yang, mengingat peran mereka di pasar kita, tunduk pada persyaratan pelaporan yang ketat ketika mereka mengalami peristiwa dunia maya,” Gurbir S. Grewal, direktur divisi penegakan SEC, mengatakan dalam sebuah pernyataan. “Di bawah Reg SCI, mereka harus segera memberi tahu SEC mengenai intrusi dunia maya ke dalam sistem relevan yang tidak dapat mereka perkirakan secara wajar. mimpi acara segera.”
Melakukan hal ini akan memungkinkan regulator, setelah menerima banyak laporan di beberapa entitas SCI, untuk mengambil langkah-langkah untuk melindungi pasar dan investor, kata Grewal.
Grewal mencatat bahwa staf SEC-lah yang menghubungi ICE saat menilai laporan kerentanan dunia maya serupa, dan ICE memerlukan waktu empat hari untuk menilai dampaknya dan secara internal menyimpulkan bahwa hal tersebut adalah sebuah kesalahan. de minimis peristiwa.
Juga: Tantangan terbesar dengan meningkatnya serangan keamanan siber
“Jika menyangkut keamanan siber, terutama peristiwa di perantara pasar yang penting, setiap detik sangat berarti dan empat hari bisa menjadi selamanya,” kata Grewal.
Menurut pernyataan SEC, ICE dan anak perusahaannya menyetujui perintah gencatan senjata selain sanksi moneter, tanpa mengakui atau menyangkal temuan SEC.
