Комиссия по ценным бумагам и биржам США (SEC) наложила штраф в размере $10 миллионов на Межконтинентальную биржу (ICE) за несообщение о значительном киберинциденте. Это событие подчеркивает важность своевременного информирования о кибератаках и соблюдения нормативных требований в сфере кибербезопасности.
Нарушение и его последствия
В апреле 2021 года в системе ICE было обнаружено внедрение вредоносного кода в устройство виртуальной частной сети (VPN), что позволило злоумышленникам получить доступ к корпоративной сети ICE. Несмотря на быстрое выявление угрозы, компания не уведомила соответствующие органы в течение нескольких дней, что стало нарушением правил Regulation SCI.
Требования Regulation SCI
Regulation SCI требует от компаний немедленно информировать SEC о любом значительном инциденте в области кибербезопасности. Это правило направлено на обеспечение быстрого реагирования и минимизации последствий кибератак для критически важных рыночных посредников.
Реакция SEC
Заявление директора по правоприменению SEC
Директор по правоприменению SEC Гурбир Гревал подчеркнул важность своевременного уведомления о киберинцидентах: «Когда дело доходит до кибербезопасности, особенно событий у критически важных рыночных посредников, каждая секунда имеет значение, и четыре дня могут оказаться вечностью».
Принудительные меры
В результате несообщения о кибератаке несколько дочерних компаний ICE, включая Нью-Йоркскую фондовую биржу (NYSE), ICE Futures в США и Европе, а также клиринговые палаты и поставщиков данных, оказались под принудительными мерами SEC. В дополнение к денежному штрафу, компании обязаны издать приказ о прекращении противоправных действий.
Критика штрафа
Мнение Хестера Пирса и Марка Уеды
Члены SEC Хестер Пирс и Марк Уеда выразили несогласие с размером штрафа, назвав его «чрезмерной реакцией» на «минимальный инцидент». Они считают, что штраф несоразмерен ущербу и способствует восприятию SEC как органа, озабоченного наложением крупных штрафов для статистики, а не для улучшения целостности рынка.
Предыдущая критика SEC
Ранее Пирс и Уеда критиковали подход SEC к регулированию криптокомпаний, указывая на чрезмерное использование штрафов в качестве основного инструмента регулирования.
Штраф в размере $10 миллионов, наложенный на ICE за несообщение о кибератаке, подчеркивает важность соблюдения требований Regulation SCI и своевременного информирования о киберинцидентах. Этот случай также вызвал обсуждения о пропорциональности штрафов и методах регулирования, используемых SEC. Для компаний, работающих в сфере финансовых рынков, данный инцидент служит напоминанием о необходимости строгого соблюдения нормативных требований в области кибербезопасности.
|