Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

SEC оштрафовала Intercontinental Exchange на $10 млн за непрозрачность при расследовании киберинцидента

24/05/24

http___com.ft.imagepublish.upp-prod-eu.s3.amazonaws

Американская компания Intercontinental Exchange (ICE) выплатит штраф в размере $10 миллионов за нарушения, связанные с несвоевременным уведомлением о взломе системы безопасности. Эти обвинения были выдвинуты Комиссией по ценным бумагам и биржам США (SEC).

ICE, владеющая и управляющая финансовыми биржами по всему миру, включая Нью-Йоркскую фондовую биржу (NYSE), выявила нарушение системы безопасности 15 апреля 2021 года. Тогда сторонняя организация сообщила компании о возможном проникновении в систему через уязвимость в виртуальной частной сети (VPN), пишет Securitylab.

Как того требует Регламент по соблюдению системной безопасности и целостности (Regulation SCI), компании обязаны немедленно уведомлять SEC о любых инцидентах с системой безопасности и предоставлять обновления в течение 24 часов. Однако ICE не выполнила эти требования. Вместо этого комиссия сама связалась с компанией в ходе оценки сообщений о возможном наличии подобных киберуязвимостей.

ICE потратила четыре дня на оценку влияния инцидента и пришла к выводу, что он незначителен. Однако в случае кибератак, особенно на ключевых рыночных посредников, каждая секунда имеет значение, а целых четыре дня и вовсе могут быть критичными.

Расследование показало, что злоумышленники, предположительно связанные с государственными структурами, использовали вредоносное ПО на взломанном устройстве VPN, чтобы собрать данные, проходящие через это устройство, включая имена сотрудников, пароли и коды многофакторной аутентификации. Эти данные могли позволить злоумышленникам получить доступ к внутренним корпоративным сетям.

Команда безопасности ICE установила, что доступ злоумышленников был ограничен одним VPN-устройством. Однако было обнаружено, что они смогли извлечь данные конфигурации VPN и метаданные некоторых пользователей ICE.

SEC заявила, что сотрудники ICE своевременно не уведомили юридические и контрольные подразделения своих дочерних компаний о взломе, что нарушило правила Reg SCI и внутренние процедуры компании по отчётности о киберинцидентах. В результате дочерние компании ICE не смогли должным образом оценить инцидент и выполнить свои обязательства по Reg SCI.

ICE и её дочерние компании признали нарушения и согласились с постановлением SEC о прекращении дальнейших нарушений правил, а также выплате штрафа в размере $10 миллионов.

Темы:Кибербезопасностьакциисудебное разбирательствоОтрасль
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...