A Intercontinental Exchange (ICE) pagará uma multa de US$ 10 milhões para encerrar as acusações feitas pela Comissão de Valores Mobiliários dos EUA (SEC, na sigla em inglês) após falhar em garantir que suas subsidiárias relatassem prontamente uma violação de segurança em sua VPN em abril de 2021.
A ICE é uma empresa americana listada na Fortune 500 que possui e opera bolsas financeiras e casas de compensação em todo o mundo, incluindo a Bolsa de Valores de Nova York (NYSE).
Em 2023, empregava mais de 13.000 pessoas e reportou um faturamento total de US$ 9,903 bilhões.
Conforme exigido pelo Regulation Systems Compliance and Integrity (Regulation SCI), as empresas devem notificar imediatamente a SEC sobre invasões de segurança e fornecer uma atualização em 24 horas, a menos que determinem que o impacto em suas operações ou nos participantes do mercado é insignificante.
"Os respondentes sujeitos ao Reg SCI não notificaram a SEC da intrusão em questão conforme exigido.
Em vez disso, foi a equipe da Comissão que contatou os respondentes no processo de avaliação de relatórios de vulnerabilidades cibernéticas similares", disse a SEC.
Conforme alegado na ordem, eles, em vez disso, levaram quatro dias para avaliar seu impacto e concluir internamente que era um evento de minimis.
Quando se trata de cibersegurança, especialmente eventos em intermediários de mercado críticos, cada segundo conta e quatro dias podem ser uma eternidade.
A ICE descobriu o incidente em 15 de abril de 2021, após um terceiro informá-la sobre uma possível intrusão no sistema vinculada a uma vulnerabilidade desconhecida em sua VPN.
Uma investigação subsequente revelou que um ator de ameaças implantou um payload malicioso em um dispositivo VPN comprometido usado para acesso remoto à sua rede corporativa.
"Atores de ameaças sofisticados, acreditados serem atores de estados-nação, instalaram um código webshell em um dispositivo VPN comprometido na tentativa de colher informações que passavam por aquele dispositivo, incluindo nome de empregado, senha e códigos de autenticação multifator.
Esses dados poderiam permitir que o ator de ameaças acessasse redes corporativas internas", revela a ordem da SEC.
No entanto, a equipe de segurança da ICE conseguiu determinar que o acesso do atacante foi limitado a um único dispositivo VPN comprometido, embora tenha encontrado evidências de que o ator de ameaças conseguiu exfiltrar "dados de configuração da VPN e certos metadados de usuários da ICE".
A SEC diz que a equipe da ICE não notificou os oficiais legais e de compliance das subsidiárias da empresa sobre esta violação de segurança da VPN por vários dias, violando tanto as regras do Reg SCI quanto os próprios procedimentos internos de relatório de incidentes cibernéticos da ICE.
Como resultado dessa falha, as subsidiárias da ICE não conseguiram avaliar a intrusão de maneira adequada e não cumpriram suas obrigações de divulgação do Reg SCI.
A ICE e suas subsidiárias consentiram com a ordem da SEC, reconhecendo que as subsidiárias violaram as disposições de notificação do Regulation SCI e que a ICE causou essas violações.
Sem admitir ou negar as conclusões da SEC, a ICE e suas subsidiárias também concordaram com uma ordem de cessar-e-desistir que as obriga a parar de violar as regras do Reg SCI e a pagar uma multa civil de US$ 10 milhões.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...