SEC nakłada na spółkę dominującą NYSE karę w wysokości 10 mln dolarów za niezgłoszenie cyberataku

Jak wynika z ogłoszenia amerykańskiej Komisji Papierów Wartościowych i Giełd (SEC), giełda Intercontinental Exchange (ICE) zapłaci karę w wysokości 10 milionów dolarów za niepoinformowanie władz o włamaniu do sieci.

Naruszenie wykryte w kwietniu 2021 r. polegało na umieszczeniu złośliwego kodu w urządzeniu VPN w celu uzyskania dostępu do sieci korporacyjnej ICE. SEC twierdzi, że ICE szybko zidentyfikowała zagrożenie, ale przez kilka dni nie powiadomiła urzędników ds. prawnych i zgodności w swoich spółkach zależnych, w tym na giełdzie nowojorskiej.

Przepisy agencji dotyczące zgodności i integralności systemów regulacyjnych (Regulation SCI) wymagają od firm natychmiastowego informowania SEC o wszelkich znaczących incydentach związanych z cyberbezpieczeństwem. Dyrektor ds. egzekwowania prawa SEC Gurbir S. Grewal powiedział:

„Jeśli chodzi o cyberbezpieczeństwo, zwłaszcza wydarzenia u kluczowych pośredników rynkowych, liczy się każda sekunda, a cztery dni mogą trwać wieczność”.

ICE stoi za największą na świecie siecią giełd i izb rozliczeniowych. Do jej spółek zależnych należą giełdy takie jak New York Stock Exchange (NYSE), ICE Futures U.S. i Europe, a także izby rozliczeniowe i dostawcy danych.

Działania egzekucyjne podjęte przez SEC wpłynęły na kilka spółek zależnych ICE, w tym Archipelago Trading Services, Inc., New York Stock Exchange LLC, NYSE American LLC, NYSE Arca, Inc., ICE Clear Credit LLC, ICE Clear Europe Ltd., NYSE Chicago, Inc., i NYSE National, Inc. Ponadto firma Securities Industry Automation Corporation zgodziła się na nakaz zaprzestania działalności oprócz kary pieniężnej.

W odpowiedzi na grzywny komisarze SEC Hester Peirce i Mark Uyeda wydali oświadczenie, w którym nazwali tę grzywnę „przesadną reakcją” na „minimalny incydent”.

„Ta nieproporcjonalnie wysoka kara za niezgłoszenie w terminie incydentu, który ostatecznie spółki zależne ICE SCI uznały za de minimis, sugeruje nam, że Komisji bardziej zależy na generowaniu wysokich kar niż na zapewnieniu, że ważne podmioty rynkowe usuną luki technologiczne”.

Zdaniem Peirce’a i Uyedy grzywna przyczynia się do utwierdzenia w przekonaniu, że „system kar Komisji jest raczej narzędziem służącym do generowania danych liczbowych na potrzeby statystyk na koniec roku, a w mniejszym stopniu sposobem na osiągnięcie wyników zwiększających integralność rynku”. W przeszłości komisarze krytykowali podejście SEC do firm kryptograficznych.

Magazyn: Co właściwie robią animatorzy rynku kryptowalut? Płynność, czyli manipulacja