VPN遭漏洞攻击未向监管报告，被罚七千万巨款

5月23日消息，美国洲际交易所（ICE）因未能确保其子公司及时报告2021年4月出现的VPN安全漏洞，遭美国证券交易委员会（SEC）指控，需支付1000万美元（约合人民币7245万元）罚款。

洲际交易所是一家位列《财富》500强榜单的美国公司，在全球范围内拥有并经营多家金融交易所和结算所，包括纽约证券交易所。2023年，该公司雇佣了超过1.3万名员工，报告总收入为99.03亿美元。

《监管系统合规性和完整性》（Regulation SCI）法规要求，如公司发现入侵等安全事件，必须立即通知SEC，并在24小时内提供更新，除非他们确定事件对其业务或市场参与者的影响微乎其微。

SEC表示：“被告受Reg SCI监管，但却未能按要求通知SEC有关入侵事件。相反，委员会工作人员在评估类似网络漏洞报告的过程中主动联系了被告。”

“SEC在命令中指控，洲际交易所足足花了四天时间评估事件影响，得出内部结论，认为这是一次微不足道的事件。在涉及市场关键中介机构的网络安全事件中，每一秒都很重要，四天过于漫长。”

洲际交易所于2021年4月15日发现了这一事件。此前，第三方通知洲际交易所，可能发生了与其VPN设备中未知漏洞有关的系统入侵。

后续调查发现，一名威胁行为者在一台被入侵的VPN设备上部署了恶意代码，用于远程访问洲际交易所的企业网络。

SEC的命令显示：“我们认为国家级复杂威胁行为者在一台被入侵的VPN设备上安装了Webshell代码，试图窃取该设备处理的信息，包括员工姓名、密码和多因素认证代码。利用这些数据，威胁行为者或能访问内部企业网络。”

洲际交易所的安全团队发现证据表明，威胁行为者能够窃取“VPN配置数据和特定的洲际交易所用户元数据”，但是他们依然确定攻击者只访问了一台被入侵的VPN设备。

SEC表示，洲际交易所员工未在数天内向子公司的法律和合规官员通知这一VPN安全漏洞，违反了Reg SCI法规和洲际交易所的内部网络事件报告程序。由于这一失误，洲际交易所子公司未能正确评估入侵情况，并未履行Reg SCI规定的披露义务。

洲际交易所及其子公司同意接受SEC的命令，承认子公司违反了Regulation SCI的通知规定，且这些违规行为系洲际交易所所致。

对于SEC的调查结果，洲际交易所及其子公司既未承认也未否认，表示将按SEC禁止令的规定，不再违反Reg SCI法规，并支付1000万美元民事罚款。