美一交易所因2021年黑客攻击被罚款1000万美元

美国证券交易委员会（SEC）周三宣布，洲际交易所（ICE）同意支付 1000万美元罚款，以和解与2021年发生的黑客攻击相关的指控。

ICE 被誉为全球金融体系的基础部分，负责运营纽约证券交易所 (NYSE) 和其他交易所。2021年4月，该公司从第三方获悉，其一款 VPN 因利用零日漏洞遭到黑客攻击。

黑客在用于远程访问公司企业网络的 VPN 设备上植入了恶意代码。

虽然所针对的 VPN 尚未被命名，但2021年4月成为头条新闻的一个零日漏洞是CVE-2021-22893，当时该漏洞被用来攻击Pulse Secure客户。

几天后，ICE对该事件的调查显示，入侵仅限于目标VPN设备。

然而，令美国证券交易委员会感到不满的是，ICE未能立即将此事通知纽约证券交易所和其他八家子公司的法律和合规官员，导致这些子公司无法正确评估此次黑客攻击事件，无法履行其独立披露义务。

SEC表示，除非该公司立即得出结论认为网络攻击对运营没有影响或影响很小，否则应该立即通知ICE，并在24小时内提供最新情况。然而，ICE却花了几天时间才通知子公司。

美国证券交易委员会表示， ICE已同意支付1000万美元的罚款，但既不承认也不否认该机构的调查结果。

ICE发言人表示，“这项和解涉及三年多前一次未成功的入侵我们网络的尝试。这次入侵对市场运作没有造成任何影响。问题在于根据SCI条例报告此类事件的时间框架。”

两名美国证券交易委员会委员就该决定发表声明，称其为“不成比例的巨额罚款”。

原文始发于微信公众号（祺印说信安）：美一交易所因2021年黑客攻击被罚款1000万美元