米国証券取引委員会(SEC)は、サイバーセキュリティ侵害についてニューヨーク証券取引所を含む子会社に速やかに通知しなかったとして、インターコンチネンタル取引所(ICE)に1,000万ドルの罰金を科した。
SECは、米国に本拠を置く金融取引所と手形交換所の運営者が罰金を支払うことに同意したと発表した。 声明 水曜日に。
規制当局は、2021年4月に第三者がICEに対し、ICEのVPN(仮想プライベートネットワーク)の脆弱性に関わるシステム侵害の可能性について伝えていたことを明らかにした。 ICE は内部調査の結果、ICE の企業ネットワークへのリモート アクセスに使用される VPN デバイスに、脅威アクターが悪意のあるコードを挿入したことを直ちに確認しました。
しかし、同社はこの情報を完全子会社の法務およびコンプライアンス担当者に伝えず、自社のサイバーインシデント報告ポリシーに違反しました。
その結果、ICE Clear EuropeやSecurities Industry Automationを含む子会社9社は侵害を評価できなかった。 これは規制システムのコンプライアンスと完全性(SCI)に概説されている規制上の開示義務に違反しているとSECは述べた。 規制SCI 米国の証券市場における IT の脆弱性に対処することを目的としたルールをリストします。
これらの法律に基づき、SCI 企業は、そのインシデントが業務に影響を及ぼさないと「直ちに結論付けるか、合理的に推定」できない限り、サイバー侵入について SEC に通知し、24 時間以内に最新情報を提供する必要があります。
また: サイバーセキュリティ 101: プライバシーを保護し、オンラインで安全を保つ方法のすべて
「本日の執行措置の対象者には、世界最大の証券取引所やその他多数の著名な仲介業者が含まれており、これらの仲介業者は市場での役割を考えると、サイバーイベントが発生した場合には厳格な報告義務の対象となる」とディレクターのガービル・S・グレワル氏は述べた。 SECの執行部門は声明でこう述べた。 「Reg SCI の下では、関連システムへのサイバー侵入が合理的に推定できない場合、直ちに SEC に通知する必要があります。 夢の すぐにイベントに参加しましょう。」
そうすることで、規制当局は複数のSCI事業体にわたる複数の報告を受けて、市場と投資家を保護するための措置を講じることが可能になる、とグレワル氏は述べた。
グレウォル氏は、同様のサイバー脆弱性の報告を評価する際にICEに連絡したのはSECのスタッフであり、ICEはその影響を評価するのに4日かかり、内部的にはそれが 最小限の イベント。
「サイバーセキュリティ、特に重要な市場仲介業者での出来事に関しては、 一秒一秒が大切 そして4日間は永遠にもなり得る」とグレワル氏は語った。
SECの声明によると、ICEとその子会社はSECの調査結果を認めるも否定することなく、罰金に加えて停止命令に同意したという。
