Multa de US$ 10M ao proprietário da bolsa de NY por hack em 2021

Da Redação
22/05/2024

A Securities and Exchange Commission anunciou ontem que a empresa Intercontinental Exchange (ICE) concordou em pagar uma multa de US$ 10 milhões para liquidar as acusações de que impediu nove subsidiárias, incluindo a Nova Bolsa de Valores de York, de informar em tempo a SEC sobre uma intrusão cibernética, conforme exigido pelo Regulamento de Conformidade e Integridade dos Sistemas (Regulation SCI).

De acordo com a ordem da SEC, em abril de 2021, um terceiro informou ao ICE que o ICE foi potencialmente impactado por uma intrusão no sistema envolvendo uma vulnerabilidade até então desconhecida na rede privada virtual (VPN) do ICE. A ICE investigou e conseguiu determinar imediatamente que um agente de ameaça havia inserido código malicioso em um dispositivo VPN usado para acessar remotamente a rede corporativa da ICE. No entanto, a ordem da SEC conclui que o pessoal do ICE não notificou os funcionários jurídicos e de conformidade das subsidiárias do ICE sobre a intrusão durante vários dias, violando os procedimentos internos de relatório de incidentes cibernéticos do próprio ICE. Como resultado das falhas da ICE, essas subsidiárias não avaliaram adequadamente a intrusão para cumprir as suas obrigações de divulgação regulamentar independente ao abrigo do Regulamento SCI, que exigia que contactassem imediatamente o pessoal da SEC sobre a intrusão e fornecessem uma atualização no prazo de 24 horas, a menos que concluíssem imediatamente ou razoavelmente estimou que a intrusão teve ou não teria, ou teria um impacto de minimis, nas suas operações ou nos participantes no mercado.

Veja isso
Ataque cibernético tira do ar site da Bolsa de Valores de Moscou
Empresas com ações na Bolsa de NY terão de seguir regras da SEC

“Os entrevistados na ação de fiscalização de hoje incluem a maior bolsa de valores do mundo e uma série de outros intermediários proeminentes que, dadas as suas funções nos nossos mercados, estão sujeitos a requisitos rigorosos de comunicação quando vivenciam eventos cibernéticos. De acordo com o Reg SCI, eles devem notificar imediatamente a SEC sobre intrusões cibernéticas em sistemas relevantes que não possam razoavelmente estimar como eventos de mimini imediatamente. O raciocínio por trás da regra é simples: se a SEC receber vários relatórios de vários desses tipos de entidades, então poderá tomar medidas rápidas para proteger os mercados e os investidores”, disse Gurbir S. Grewal, Diretor da Divisão de Execução da SEC. “Aqui, os entrevistados sujeitos ao Reg SCI não notificaram a SEC sobre a intrusão em questão, conforme necessário. Pelo contrário, foram os funcionários da Comissão que contactaram os inquiridos no processo de avaliação de relatórios de vulnerabilidades cibernéticas semelhantes. Conforme alegado no despacho, em vez disso, levaram quatro dias para avaliar o seu impacto e concluir internamente que se tratava de um evento de minimis. Quando se trata de segurança cibernética, especialmente eventos em intermediários críticos do mercado, cada segundo conta e quatro dias podem ser uma eternidade. A ordem e a penalidade de hoje não refletem apenas a gravidade das violações dos réus, mas também que vários deles foram objeto de uma série de ações coercivas anteriores da SEC, inclusive por violações do Reg SCI.”

A ICE e suas subsidiárias consentiram com a entrada da ordem da SEC concluindo que as subsidiárias violaram as disposições de notificação do Regulamento SCI e que a ICE causou essas violações. Sem admitir ou negar as conclusões da SEC, a ICE e suas subsidiárias, constituídas pela Archipelago Trading Services, Inc.; LLC da Bolsa de Valores de Nova York; NYSE American LLC; NYSE Arca, Inc.; ICE Clear Credit LLC; ICE Clear Europa Ltd.; NYSE Chicago, Inc.; NYSE Nacional, Inc.; e a Securities Industry Automation Corporation concordaram com uma ordem de cessação, além da penalidade monetária do ICE.

A investigação da SEC foi conduzida por Benjamin D. Brutlag e Lory C. Stone sob a supervisão de Melissa Hodgman e Carolyn M. Welshhans. A equipe foi auxiliada por Heidi Pilpel e David Liu da Divisão de Negociação e Mercados da SEC e pelo Programa de Controles de Tecnologia da Divisão de Exames da SEC.

Compartilhar:

Últimas Notícias