Промедлил с информированием – плати штраф. Насколько эффективен такой подход?
Американская компания Intercontinental Exchange (ICE) выплатит штраф в размере $10 миллионов за нарушения, связанные с несвоевременным уведомлением о взломе системы безопасности. Эти обвинения были выдвинуты Комиссией по ценным бумагам и биржам США (Комиссия по ценным бумагам и биржам (SEC) — это американское федеральное агентство, которое регулирует и надзирает за рынком ценных бумаг в США. Она была создана в 1934 году после Великой депрессии, чтобы защитить инвесторов от мошенничества, обеспечить прозрачность финансовых рынков и поддерживать стабильность в экономике.<br /> Кроме того, SEC требует от компаний, чьи акции размещены на фондовой бирже, усиленной отчётности в случае нарушений их безопасности. Зачастую о многих кибератаках становится известно именно из заявок, поданных в SEC." data-html="true" data-original-title="SEC" >SEC).
ICE, владеющая и управляющая финансовыми биржами по всему миру, включая Нью-Йоркскую фондовую биржу (NYSE (New York Stock Exchange) – это Нью-Йоркская фондовая биржа, крупнейшая в мире по рыночной капитализации торгуемых на ней компаний. Она находится в Нью-Йорке, на Уолл-стрит, и является основным местом торговли акциями и другими ценными бумагами. Основанная в 1792 году, NYSE играет ключевую роль в мировой финансовой системе, предоставляя платформу для купли-продажи акций, где компании могут привлекать капитал, а инвесторы — покупать и продавать ценные бумаги." data-html="true" data-original-title="NYSE" >NYSE), выявила нарушение системы безопасности 15 апреля 2021 года. Тогда сторонняя организация сообщила компании о возможном проникновении в систему через уязвимость в виртуальной частной сети (VPN («Virtual Private Network» или «виртуальная частная сеть») — это совокупность технологий для создания одного или нескольких сетевых соединений (логической сети) поверх другой сети (например, Интернет). Технология создает виртуальный зашифрованный туннель между двумя серверами, представляя отправленные с устройства данные в виде случайной и зашифрованной строки кода. VPN также маскирует IP-адрес и местоположение пользователя в реальном времени для доступа к контенту без ограничений." data-html="true" data-original-title="VPN" >VPN).
Как того требует Регламент по соблюдению системной безопасности и целостности (Regulation SCI), компании обязаны немедленно уведомлять SEC о любых инцидентах с системой безопасности и предоставлять обновления в течение 24 часов. Однако ICE не выполнила эти требования. Вместо этого комиссия сама связалась с компанией в ходе оценки сообщений о возможном наличии подобных киберуязвимостей.
ICE потратила четыре дня на оценку влияния инцидента и пришла к выводу, что он незначителен. Однако в случае кибератак, особенно на ключевых рыночных посредников, каждая секунда имеет значение, а целых четыре дня и вовсе могут быть критичными.
Расследование показало, что злоумышленники, предположительно связанные с государственными структурами, использовали вредоносное ПО на взломанном устройстве VPN, чтобы собрать данные, проходящие через это устройство, включая имена сотрудников, пароли и коды многофакторной аутентификации. Эти данные могли позволить злоумышленникам получить доступ к внутренним корпоративным сетям.
Команда безопасности ICE установила, что доступ злоумышленников был ограничен одним VPN-устройством. Однако было обнаружено, что они смогли извлечь данные конфигурации VPN и метаданные некоторых пользователей ICE.
SEC заявила, что сотрудники ICE своевременно не уведомили юридические и контрольные подразделения своих дочерних компаний о взломе, что нарушило правила Reg SCI и внутренние процедуры компании по отчётности о киберинцидентах. В результате дочерние компании ICE не смогли должным образом оценить инцидент и выполнить свои обязательства по Reg SCI.
ICE и её дочерние компании признали нарушения и согласились с постановлением SEC о прекращении дальнейших нарушений правил, а также выплате штрафа в размере $10 миллионов.
