因网络安全事件：罚 7259 万

洲际交易所（ICE）将支付 1000 万美元（7259 万元人民币）的罚款，以了结美国证券交易委员会（SEC）对其提起的指控，起因是 ICE 未能确保旗下九家全资子公司及时报告发生在 2021 年 4 月的一起 VPN 安全事件。

ICE 是一家名列《财富》500 强的美国公司，在全球拥有并经营多家大型金融交易所和结算所，其中包括纽约证券交易所。2023 年，该公司雇有 13000 余名员工，总收入高达 99.03亿美元，2024 年第一季度净营收为 23 亿美元。除了自营多家交易所外，ICE 还提供数据服务和金融技术。

根据联邦监管系统合规和完整性（Reg SCI）的要求，公司必须立即向 SEC 告知安全事件入侵，并在 24 小时内提供进展更新，除非他们确定事件对其运营或市场参与者的影响可以忽略不计。

SEC 表示：“需遵守 SCI 要求的被告未能按相关要求向SEC告知这起入侵事件。确切地说，反而是SEC的工作人员在评估类似网络漏洞报告的过程中联系了被告。”

“正如SEC命令中指控的那样，被告花了四天时间来评估其影响，并在内部得出结论这是一起微不足道的事件。说到网络安全，尤其是重要市场中介机构发生的事件，每一秒都至关重要，四天实在太长了。”

ICE 在 2021 年 4 月 15 日发现了这起事件，此前第三方通知其虚拟专用网（VPN）中的一个未知漏洞可能导致系统入侵。

随后展开的调查显示，一伙威胁分子在一个受感染的 VPN 设备上部署了恶意攻击载荷，这个 VPN 设备用于远程访问公司网络。

SEC 的命令显示：“狡猾的威胁分子据信是政府撑腰的黑客，他们在受感染的 VPN 设备上安装了 Web 外壳（webshell）代码，企图收集通过该设备传输的信息，包括员工姓名、密码和多因素身份验证码。这些信息可能让威胁分子得以访问公司内部网络。”

然而，ICE 的安全团队最终确定攻击者的访问仅限于一个受感染的 VPN 设备，尽管他们发现有证据表明威胁分子能够泄露“VPN 配置数据和某些 ICE 用户元数据”。

SEC 表示，ICE 工作人员好几天都没有向该公司子公司的法务和合规官员告知这起 VPN 安全事件，这既违反了 Reg SCI 规定，也违反了 ICE 自己的内部网络事件报告程序。由于未及时告知，ICE 子公司未能正确评估入侵事件，也没有履行其 Reg SCI 披露义务。

ICE 及子公司同意遵守 SEC 的命令，承认子公司违反了 Reg SCI 的通知规定，承认 ICE 造成了这些违规行为。

ICE 及子公司并未承认或否认 SEC 的调查结果，还同意了要求他们停止违反 Reg SCI 规定，并支付 1000 万美元民事罚款的停止令。