Sàn giao dịch liên lục địa (Intercontinental Exchange – ICE) và các công ty con đã thừa nhận hành vi vi phạm và đồng ý trả khoản phạt 10 triệu USD để giải quyết các cáo buộc của Ủy ban Chứng khoán và Hối đoái Mỹ (SEC). Vụ việc đã nêu bật tầm quan trọng đặc biệt của việc báo cáo kịp thời các vụ vi phạm an ninh mạng trong một tổ chức và các công ty con của tổ chức đó.
Tóm tắt:
- SEC đã phạt ICE 10 triệu USD vì không báo cáo kịp thời vi phạm bảo mật năm 2021 trên VPN của mình, có khả năng ảnh hưởng đến dữ liệu của nhân viên.
- Sự chậm trễ trong việc thông báo cho các công ty con đã cản trở khả năng đánh giá sự việc và đáp ứng các yêu cầu công bố thông tin theo Quy định SCI.
Cụ thể, SEC đã phạt 10 triệu USD đối với ICE do không báo cáo kịp thời một vi phạm bảo mật trên Mạng riêng ảo (VPN) của họ vào tháng 4/2021. Vi phạm này, có thể do tin tặc được nhà nước bảo trợ thực hiện, có khả năng xâm phạm thông tin xác thực của nhân viên và thông tin mạng nội bộ.
Theo Quy định Tuân thủ và Tính toàn vẹn của hệ thống (Quy định SCI), các công ty phải thông báo kịp thời cho SEC về các hành vi xâm nhập sự cố bảo mật có thể ảnh hưởng đến hoạt động hoặc những người tham gia thị trường. Tuy nhiên, SEC cho rằng các công ty con của ICE, bao gồm cả Sở giao dịch chứng khoán New York (NYSE), đã không tuân thủ quy định này.
SEC báo cáo rằng ICE đã được bên thứ ba cảnh báo vào ngày 15/4/2021 về khả năng ai đó đã xâm nhập hệ thống, có liên quan đến một lỗ hổng không xác định, trong mạng riêng ảo (VPN) của họ.
Mặc dù vậy, ICE được cho là đã mất 4 ngày để đánh giá vụ việc và coi đây là một vấn đề nhỏ. SEC nhấn mạnh tầm quan trọng của việc ứng phó nhanh chóng với các sự cố an ninh mạng, đặc biệt là những sự cố liên quan đến các trung gian thị trường quan trọng.
Kết quả điều tra tiếp theo cho thấy, một mã độc hại đã được đặt trên một thiết bị VPN dùng để truy cập từ xa vào mạng công ty. SEC chỉ ra rằng các tác nhân nhà nước tinh vi đứng đằng sau cuộc tấn công, nhằm đánh cắp thông tin xác thực của nhân viên và mã xác thực đa yếu tố thông qua một “webshell” trên thiết bị bị xâm nhập.
Mặc dù nhóm bảo mật của ICE đã hạn chế quyền truy cập của những kẻ tấn công vào thiết bị VPN bị xâm nhập duy nhất, nhưng chúng đã tìm cách lấy được “dữ liệu cấu hình VPN và một số siêu dữ liệu người dùng ICE nhất định”.
Một vấn đề nghiêm trọng đã nảy sinh khi nhân viên ICE không thông báo cho các quan chức pháp lý và tuân thủ trong các công ty con của mình về hành vi vi phạm trong vài ngày. Sự chậm trễ này cản trở việc đánh giá đúng hành vi xâm nhập và không đáp ứng yêu cầu theo Quy định SCI.
ICE và các công ty con đã chấp thuận lệnh của SEC, thừa nhận các vi phạm Quy định SCI. Họ chấp nhận lệnh ngừng hoạt động để ngăn chặn các hành vi vi phạm trong tương lai và mức phạt 10 triệu USD mà không thừa nhận hay phủ nhận cáo buộc của SEC. Trường hợp này đã nêu bật tầm quan trọng của việc liên lạc nhanh chóng và minh bạch trong các sự cố an ninh mạng, đặc biệt là đối với các đơn vị chịu trách nhiệm bảo vệ dữ liệu tài chính nhạy cảm.
