美国证券交易委员会 (SEC) 对洲际交易所 (ICE) 处以 1000 万美元罚款,原因是其未能及时向纽约证券交易所等子公司通报网络安全漏洞。
美国证券交易委员会周三在一份声明中表示,这家总部位于美国的金融交易所和清算机构运营商已同意支付罚款。
该监管机构透露,2021 年 4 月,第三方曾告知 ICE 其 VPN(虚拟专用网络)存在漏洞,可能存在系统漏洞。在内部调查后,ICE 立即确定有威胁行为者将恶意代码插入了用于远程访问 ICE 公司网络的 VPN 设备中。
然而,该公司并未将此信息传达给其全资子公司的法律和合规官员,违反了其自身的网络事件报告政策。
因此,其九家子公司(包括 ICE Clear Europe 和 Securities Industry Automation)无法评估此次违规行为。SEC 表示,这违反了《监管系统合规与完整性》(SCI)中规定的监管披露义务。SCI法规列出了旨在解决美国证券市场 IT 漏洞的规则。
根据这些法律,SCI 实体必须向 SEC 通报网络入侵情况,并在 24 小时内提供最新情况,除非他们能够“立即得出结论或合理估计”该事件不会对其运营产生影响。
SEC 执法部门主管 Gurbir S. Grewal 在一份声明中表示:“今天执法行动的被告包括全球最大的证券交易所和许多其他知名中介机构,鉴于它们在我们市场中的作用,它们在遇到网络事件时必须遵守严格的报告要求。根据 Reg SCI,它们必须立即向 SEC 报告相关系统的网络入侵事件,而这些事件它们无法立即合理地判断为微不足道的事件。”
格雷瓦尔表示,这样做将使监管机构在收到多个 SCI 实体的多份报告后,能够采取措施保护市场和投资者。
格雷瓦尔指出,正是美国证券交易委员会的工作人员在评估类似网络漏洞报告时联系了 ICE,而 ICE 花了四天时间评估其影响,并在内部得出结论,这是一个微不足道的事件。
格雷瓦尔表示:“谈到网络安全,尤其是关键市场中介机构发生的事件,每一秒都至关重要,四天可能就是永恒。”
根据美国证券交易委员会的声明,ICE 及其子公司除了同意接受罚款外,还同意接受停止令,但既不承认也不否认美国证券交易委员会的调查结果。
本站全部资讯来源于实验室原创、合作机构投稿及网友汇集投稿,仅代表个人观点,不作为任何依据,转载联系作者并注明出处:https://www.lvsky.net/204.html
评论