5月23日消息,美国洲际交易所(ICE)因未能确保其子公司及时报告2021年4月出现的VPN安全漏洞,遭美国证券交易委员会(SEC)指控,需支付1000万美元(约合人民币7245万元)罚款。
洲际交易所是一家位列《财富》500强榜单的美国公司,在全球范围内拥有并经营多家金融交易所和结算所,包括纽约证券交易所。2023年,该公司雇佣了超过1.3万名员工,报告总收入为99.03亿美元。
《监管系统合规性和完整性》(Regulation SCI)法规要求,如公司发现入侵等安全事件,必须立即通知SEC,并在24小时内提供更新,除非他们确定事件对其业务或市场参与者的影响微乎其微。
SEC表示:“被告受Reg SCI监管,但却未能按要求通知SEC有关入侵事件。相反,委员会工作人员在评估类似网络漏洞报告的过程中主动联系了被告。”
“SEC在命令中指控,洲际交易所足足花了四天时间评估事件影响,得出内部结论,认为这是一次微不足道的事件。在涉及市场关键中介机构的网络安全事件中,每一秒都很重要,四天过于漫长。”
洲际交易所于2021年4月15日发现了这一事件。此前,第三方通知洲际交易所,可能发生了与其VPN设备中未知漏洞有关的系统入侵。
后续调查发现,一名威胁行为者在一台被入侵的VPN设备上部署了恶意代码,用于远程访问洲际交易所的企业网络。
SEC的命令显示:“我们认为国家级复杂威胁行为者在一台被入侵的VPN设备上安装了Webshell代码,试图窃取该设备处理的信息,包括员工姓名、密码和多因素认证代码。利用这些数据,威胁行为者或能访问内部企业网络。”
洲际交易所的安全团队发现证据表明,威胁行为者能够窃取“VPN配置数据和特定的洲际交易所用户元数据”,但是他们依然确定攻击者只访问了一台被入侵的VPN设备。
SEC表示,洲际交易所员工未在数天内向子公司的法律和合规官员通知这一VPN安全漏洞,违反了Reg SCI法规和洲际交易所的内部网络事件报告程序。由于这一失误,洲际交易所子公司未能正确评估入侵情况,并未履行Reg SCI规定的披露义务。
洲际交易所及其子公司同意接受SEC的命令,承认子公司违反了Regulation SCI的通知规定,且这些违规行为系洲际交易所所致。
对于SEC的调查结果,洲际交易所及其子公司既未承认也未否认,表示将按SEC禁止令的规定,不再违反Reg SCI法规,并支付1000万美元民事罚款。
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。 我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。 如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。 |
END
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...