ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) bugün, ABD finans sistemindeki büyük bir oyuncunun, Nisan 2021’de meydana gelen bir VPN ihlalini zamanında bildirmemesi nedeniyle 10 milyon dolar ceza ödemeyi kabul ettiğini duyurdu.
New York Menkul Kıymetler Borsası’nın (NYSE) ve bir dizi diğer büyük finansal şirketin sahibi olan Intercontinental Exchange Inc. (ICE), “kendisinin tamamına sahip olduğu dokuz yan kuruluşun iflasına neden olduğu” yönündeki suçlamaları çözüme kavuşturmak için cezayı ödeyecek. Ajans bir basın açıklamasında, “New York Menkul Kıymetler Borsası, Düzenleme Sistemleri Uyumluluğu ve Bütünlüğü (Yönetmelik SCI) uyarınca SEC’i bir siber saldırı konusunda zamanında bilgilendirecektir” dedi.
SEC, ICE ihlalini, ihlalin meydana gelmesinden birkaç gün sonra benzer güvenlik açıklarına ilişkin raporları değerlendirirken şirketle iletişime geçtikten sonra öğrendi. SCI Yönetmeliği, siber güvenlik olaylarının derhal raporlanmasını ve olayın önemli olması durumunda 24 saat içinde güncellenmesini gerektirir.
SEC, emrinde yalnızca “Şirket A” olarak tanımlanan üçüncü bir tarafın, ICE’ye, sıfırıncı gün VPN güvenlik açığını içeren bir sisteme izinsiz girişten potansiyel olarak etkilendiğini bildirdiğini söyledi. Ertesi gün ICE, “VPN yoğunlaştırıcılarından birindeki güvenlik açığından yararlanan tehdit aktörüyle ilişkili kötü amaçlı kodu tespit etti ve makul bir şekilde bunun… gerçekten de İzinsiz Girişe maruz kaldığı sonucuna vardı.”
SEC, önümüzdeki birkaç gün içinde ICE ve dahili InfoSec ekibinin, ele geçirilen VPN cihazını çevrimdışına almak, adli olarak incelemek ve herhangi bir izinsiz giriş veya veri sızıntısını tespit etmek için kullanıcı VPN oturumlarını incelemek de dahil olmak üzere, izinsiz girişi analiz etmek ve yanıt vermek için adımlar attığını söyledi. . ICE ayrıca paralel bir adli soruşturma yürütmek için bir siber güvenlik firmasını tuttu ve ayrıca “ICE’nin ağ ortamının bütünlüğünü doğrulamak için” VPN cihazı üreticisiyle birlikte çalıştı.
ICE InfoSec personeli, güvenlik açığının kendisine bildirilmesinden beş gün sonra, tehdit aktörünün erişiminin güvenliği ihlal edilmiş VPN cihazıyla sınırlı olduğu sonucuna vardı.
SEC kararına göre, bu noktada – “izinsiz girişin gerçekleştiğine dair ilk makul gerekçenin ortaya çıkmasından dört gün sonra” – ICE’nin düzenlemeye tabi bağlı kuruluşlarındaki hukuk ve uyum personeli nihayet izinsiz girişten haberdar edildi.
SEC basın açıklamasında, “ICE’nin başarısızlıklarının bir sonucu olarak, bu yan kuruluşlar, SCI Yönetmeliği kapsamındaki bağımsız düzenleyici açıklama yükümlülüklerini yerine getirmeye yönelik saldırıyı gerektiği gibi değerlendirmedi” dedi.
SEC’in Uygulama Bölümü Direktörü Gurbir S. Grewal, “Kuralın ardındaki mantık basit: SEC bu tür kuruluşlardan birden fazla rapor alırsa piyasaları ve yatırımcıları korumak için hızlı adımlar atabilir” dedi. bir açıklamada söyledi. “Burada, Reg SCI’ye tabi olan katılımcılar, SEC’e söz konusu izinsiz girişi gerektiği gibi bildirmediler. Aksine, benzer siber güvenlik açıklarına ilişkin raporların değerlendirilmesi sürecinde katılımcılarla iletişime geçen kişi Komisyon personeliydi.”
Grewal, emir ve cezanın yalnızca ihlallerin ciddiyetini yansıtmadığını, aynı zamanda birçoğunun Reg SCI ihlalleri de dahil olmak üzere daha önceki SEC yaptırım eylemlerine konu olduğunu da gösterdiğini ekledi.
Davaya dahil olan ICE bağlı kuruluşları arasında Archipelago Trading Services, Inc., NYSE Arca, Inc., ICE Clear Credit LLC ve Securities Industry Automation Corporation (SIAC) da vardı ve hepsi de bir durdurma ve vazgeçme emrini kabul etti. ICE’nin para cezasına ek olarak.
VPN cihazları son günlerde daha fazla incelemeye tabi tutuldu. Norveç Ulusal Siber Güvenlik Merkezi, uç ağ cihazlarındaki güvenlik açıklarının tekrar tekrar kullanılması nedeniyle, geçen hafta SSLVPN ve WebVPN çözümlerinin daha güvenli alternatiflerle değiştirilmesi yönünde bir öneri yayınladı. Bu uyarı, NCSC’nin SSLVPN ürünlerine yönelik, saldırganların kritik altyapı tesislerine güç sağlamak için kullanılan Cisco ASA VPN’deki birden fazla sıfır gün güvenlik açığından faydalandığı hedefli bir saldırı hakkında yaptığı bildirimin ardından geldi. Kampanya Kasım 2023’ten beri gözlemleniyordu.
Medya Yasal Uyarısı: Bu makale, çeşitli yollarla elde edilen dahili ve harici araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.