事件概要
近日,美国证券交易委员会(SEC)指控洲际交易所(ICE)未能及时报告其子公司在2021年4月发现的VPN安全漏洞,导致其面临1000万美元的罚款。尽管洲际交易所评估事件影响极小,但SEC认为作为市场关键主体,该公司未能按照规定上报事件。
网络安全事件通知要求
新规出台
根据美国证券机构的新规,金融机构在发现数据违规后,必须在30天内披露事件。同时,重磅新规要求美股上市公司在重大网络安全事件发生后,需在4天内向SEC报告。
事件背景
洲际交易所是一家位列《财富》500强的公司,拥有并经营多家金融交易所,包括纽约证券交易所。2023年,该公司雇佣了超过1.3万名员工,报告总收入达到99.03亿美元。
SEC的指控
SEC表示,洲际交易所未能及时通知SEC有关入侵事件,反而是在事件发生后四天才进行评估,认为事件影响微乎其微。SEC指出:“在涉及市场关键中介机构的网络安全事件中,每一秒都很重要,四天过于漫长。”
VPN安全漏洞的发现
洲际交易所于2021年4月15日发现该事件,之前是由第三方通知其可能存在与VPN设备中未知漏洞有关的系统入侵。后续调查发现,攻击者在被入侵的VPN设备上部署了恶意代码,试图窃取用户的敏感信息,包括员工姓名、密码和多因素认证代码。
后续调查
SEC的命令显示,洲际交易所的安全团队发现威胁行为者能够窃取“VPN配置数据和特定的洲际交易所用户元数据”。虽然他们确认攻击者只访问了一台被入侵的VPN设备,但未能及时向子公司的法律和合规官员报告这一安全漏洞,违反了Reg SCI法规。
违规行为的后果
洲际交易所及其子公司同意接受SEC的命令,承认子公司违反了Regulation SCI的通知规定。对此,洲际交易所表示将按照SEC的规定,确保不再违反相关法规,并支付1000万美元的民事罚款。
结论
此次事件再次提醒我们网络安全的重要性,尤其是在金融行业中。企业应当加强对安全事件的监控和及时报告机制,以防止类似事件的再次发生。
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
