Intercontinental Exchange (ICE), bağlı kuruluşlarının Nisan 2021’de bir VPN güvenlik ihlalini derhal bildirmelerini sağlayamadığı için ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) tarafından getirilen suçlamaları karşılamak için 10 milyon dolar ceza ödeyecek.
ICE, New York Menkul Kıymetler Borsası (NYSE) dahil olmak üzere dünya çapında finansal borsaların ve takas odalarının sahibi ve işletmecisi olan, Fortune 500 listesinde yer alan bir Amerikan şirketidir. 2023 yılında 13.000’den fazla kişiyi istihdam etti ve toplam 9,903 milyar dolar gelir bildirdi.
Düzenleme Sistemleri Uyumluluğu ve Bütünlüğü (Yönetmelik SCI) gerektirdiği gibi, firmalar, operasyonları veya piyasa katılımcıları üzerindeki etkinin ihmal edilebilir düzeyde olduğunu tespit etmedikleri sürece, güvenlik olayı ihlallerini derhal SEC’ye bildirmeli ve 24 saat içinde bir güncelleme sağlamalıdır.
SEC, “Reg SCI’ye tabi olan katılımcılar, söz konusu izinsiz girişi SEC’e gerektiği gibi bildirmediler. Bunun yerine, benzer siber güvenlik açıklarına ilişkin raporların değerlendirilmesi sürecinde katılımcılarla iletişime geçen Komisyon personeliydi” dedi.
“Emirde iddia edildiği gibi, bunun yerine etkisini değerlendirmek ve dahili olarak bunun önemsiz bir olay olduğu sonucuna varmak için dört gün sürdüler. Siber güvenlik söz konusu olduğunda, özellikle de kritik piyasa aracılarındaki olaylarda, her saniye önemlidir ve dört gün sonsuzluk kadar uzun olabilir. “
ICE, olayı 15 Nisan 2021’de, üçüncü bir tarafın sanal özel ağındaki (VPN) bilinmeyen bir güvenlik açığıyla bağlantılı olası bir sistem saldırısı konusunda kendisine bilgi vermesinin ardından keşfetti.
Şüpheli devlet korsanları tarafından ihlal edildi
Daha sonra yapılan bir araştırma, bir tehdit aktörünün kurumsal ağına uzaktan erişim için kullanılan, güvenliği ihlal edilmiş bir VPN cihazına kötü amaçlı bir yük yerleştirdiğini ortaya çıkardı.
“Ulus devlet aktörleri olduğuna inanılan gelişmiş tehdit aktörleri, güvenliği ihlal edilmiş bir VPN cihazına, çalışan adı, şifre ve çok faktörlü kimlik doğrulama kodları dahil olmak üzere cihazdan geçen bilgileri toplamak amacıyla bir web kabuğu kodu yükledi. SEC’in emri, tehdit aktörünün dahili kurumsal ağlara erişmesine izin veriyor
Ancak ICE’nin güvenlik ekibi, tehdit aktörünün “VPN yapılandırma verilerini ve belirli ICE kullanıcı meta verilerini” sızdırabildiğine dair kanıt bulmasına rağmen, saldırganın erişiminin güvenliği ihlal edilmiş tek bir VPN cihazıyla sınırlı olduğunu tespit edebildi.
SEC, ICE personelinin şirketin yan kuruluşlarındaki hukuk ve uyumluluk görevlilerini bu VPN güvenlik ihlali hakkında birkaç gün boyunca bilgilendirmediğini, bunun hem Reg SCI kurallarını hem de ICE’nin kendi dahili siber olay raporlama prosedürlerini ihlal ettiğini söylüyor. Bu başarısızlığın bir sonucu olarak, ICE bağlı kuruluşları izinsiz girişi gerektiği gibi değerlendiremedi ve Reg SCI açıklama yükümlülüklerini yerine getirmedi.
ICE ve bağlı ortaklıkları, bağlı ortaklıklarının SCI Yönetmeliğinin bildirim hükümlerini ihlal ettiğini ve bu ihlallere ICE’nin neden olduğunu kabul ederek SEC’in kararına razı oldu.
ICE ve bağlı kuruluşları, SEC’in bulgularını kabul etmeden veya reddetmeden, Reg SCI kurallarını ihlal etmeyi bırakmalarını ve 10 milyon dolarlık sivil para cezası ödemelerini gerektiren bir durdurma ve vazgeçme emrini de kabul etti.