Американская компания Intercontinental Exchange (ICE) выплатит штраф в размере $10 миллионов за нарушения, связанные с несвоевременным уведомлением о взломе системы безопасности. Эти обвинения были выдвинуты Комиссией по ценным бумагам и биржам США (SEC).
ICE, владеющая и управляющая финансовыми биржами по всему миру, включая Нью-Йоркскую фондовую биржу (NYSE), выявила нарушение системы безопасности 15 апреля 2021 года. Тогда сторонняя организация сообщила компании о возможном проникновении в систему через уязвимость в виртуальной частной сети (VPN).
Как того требует Регламент по соблюдению системной безопасности и целостности (Regulation SCI), компании обязаны немедленно уведомлять SEC о любых инцидентах с системой безопасности и предоставлять обновления в течение 24 часов. Однако ICE не выполнила эти требования. Вместо этого комиссия сама связалась с компанией в ходе оценки сообщений о возможном наличии подобных киберуязвимостей.
ICE потратила четыре дня на оценку влияния инцидента и пришла к выводу, что он незначителен. Однако в случае кибератак, особенно на ключевых рыночных посредников, каждая секунда имеет значение, а целых четыре дня и вовсе могут быть критичными.
Расследование показало, что злоумышленники, предположительно связанные с государственными структурами, использовали вредоносное ПО на взломанном устройстве VPN, чтобы собрать данные, проходящие через это устройство, включая имена сотрудников, пароли и коды многофакторной аутентификации. Эти данные могли позволить злоумышленникам получить доступ к внутренним корпоративным сетям.
Мы в VK: https://vk.com/darkwebex
