Intercontinental Exchange (ICE) sanal özel ağında (VPN) bir ihlal tespit ettiğinde, kuruluş derhal soruşturma ve düzeltme çabalarını başlattı. Ancak, şirket ihlali düzenleyicilere ancak dört gün sonra bildirdi ve bu durum yalnızca Güvenlik ve Borsa Komisyonu’nun (SEC) uyumluluk gerekliliklerini değil, aynı zamanda şirketin kendi iç siber olay raporlama prosedürlerini de ihlal etti. SEC’e göre bu, Mayıs ayı duyurusu 10 milyon dolarlık para cezası. ICE’nin olayı neden geciktirdiği sorusu hiçbir zaman kamuoyuna açıklanmadı.
SEC şunları belirtti: “SEC’in emri, ICE personelinin ICE’nin yan kuruluşlarındaki hukuk ve uyumluluk görevlilerini, ICE’nin kendi dahili siber olay raporlama prosedürlerini ihlal edecek şekilde izinsiz giriş konusunda birkaç gün boyunca bilgilendirmediğini ortaya koyuyor. ICE’nin başarısızlıklarının bir sonucu olarak, bu yan kuruluşlar, SCI Düzenlemesi (Düzenleme Sistemleri Uyumluluğu ve Bütünlüğü) kapsamındaki bağımsız düzenleyici açıklama yükümlülüklerini yerine getirmek için, izinsiz girişle ilgili derhal SEC personeliyle iletişime geçmelerini ve izinsiz girişle ilgili derhal bir sonuca varmadıkça veya makul bir şekilde tahmin etmedikçe 24 saat içinde bir güncelleme sağlamalarını gerektiren, izinsiz girişi gerektiği gibi değerlendirmezler. izinsiz giriş vardı ya da olmayacaktı ya da teferruat operasyonları veya piyasa katılımcıları üzerindeki etkisi.”
Hem ICE hem de SEC, Dark Reading’in sorularına cevap vermeyi reddetti, ancak bazı olası açıklamalar var. Ayrıca, daha hızlı olay müdahalesi için uyumluluğu atlatmayı düşünen diğer kritik altyapı kuruluşları için de uyarıcı bir hikaye.
Yaygın bir yanlış anlama, işletmelerin uyumluluk konusunda umursamaz bir tavır takındıkları ve gerekli uyumluluk belgelerini dosyalamak ve bir ihlalin sonuçlarıyla uğraşmak yerine, cezayı ödeyip kötü basın ve davaların sonuçlarına katlanmayı daha kolay bulduklarıdır.
Sertifikalı kamu muhasebe firması BPM Associates’in ortaklarından Fred Rica, “Birisinin ciddi bir şekilde ‘Evet, cezayı ödeyeceğiz’ dediği bir durum ya da toplantıya hiç katılmadım” diyor. “Çoğu kurul ve yönetim komitesinin doğru olanı yapmaya ve bağlı oldukları kural ve düzenlemelere uymaya çalıştığını düşünüyorum.”
Teknik olmayan yönetim kurulu üyelerinin genellikle siber güvenlik etkilerini anlamaması ve CISO’ların tehditleri iş terimleriyle açıklamakta zorluk çekmesi gibi bir zorluk devam ediyor. Rica, yönetim kurullarının daha iyi sorular sorması ve siber güvenlik sorunlarıyla daha fazla ilgilenmesi gerektiğini vurguluyor.
“İlk değişmesi gereken şey, yönetim kurullarının daha iyi sorular sormaya başlamasıdır” diyor ve yönetim kurullarının siber tehditleri teknik ekibe iletebileceği zamanın geçtiğini ekliyor.
Rica, “Üç yıl önce yeterli olan şey artık muhtemelen yeterli değil” diyor.
ICE vakasında VPN saldırısının “teferruat SEC, tek başına bu durum, kritik altyapıya yönelik saldırıların 24 saat içinde rapor edilmesi ihtiyacını değiştirmese de, şirketin bir sorunu olabildiğince çabuk çözmeye odaklandığını gösterebilir. basitçe şirketin 24 saat içinde yapılması gereken bir görevde başarısız olduğu anlamına gelebilir.
Veri ihlalini bildirmeyen bir şirket, siber sigorta poliçesinin daha fazla incelenmesiyle karşı karşıya kalabilir. Woodruff-Sawyer & Co. avukatlarından Bridget Quinn Choi, yeterli güvenlik kontrollerine sahip şirketlerin siber politikalarında daha iyi ücretler ve koşullar elde ettiğini, eksiklikleri olanların ise daha yüksek oranlar ve daha az avantajlı koşullarla karşı karşıya kaldığını belirtiyor.
Bu durumda, ICE’nin olaya hemen müdahale ettiğini söylüyor.
“Kritiklik matrisleri vardı. Raporlama kontrolleri vardı, ciddiyet derecesine bakıyorlardı ve oldukça hızlı bir şekilde içeri girip güvenlik açığını buldular. Küçük bir ihlal olduğunu buldular ve çok hızlı bir şekilde düzelttiler,” diyor. “Büyük bir sorun değildi. Bu nedenle olay müdahalesi açısından oldukça iyi bir sonuçtu. Eksik olan şey, olay müdahale planlarında, makul bir ihlal şüphesi varsa 24 saat içinde rapor vermeleri gerektiğiydi. Bunu yapmadılar.”
Choi, yanıtın hızlı olmasına rağmen şirketin prosedürle ilgili sorunlar yaşadığını belirtiyor.
“SEC bile geri döndü ve bunun doğru olduğunu söyledi teferruat. Ancak bu onların ikinci ihlali” diyor. (Şirket daha önce uygun yedekleme ve yedekleme prosedürlerine sahip olmadığı için SEC Yönetmeliği SCI’yi ihlal etmişti.)
“Siber güvenliğin bir bilgi güvenliği sorunu olduğuna dair yaygın bir yanlış anlaşılma olduğunu düşünüyorum” diyor.
Siber güvenlik, şirket, itibar ve gelir üzerinde geniş kapsamlı etkilere sahip olabilen bir iş sürecidir.
“Şirkete etkisi geniş kapsamlı olabilir” diyor. Artan maliyetler olabilir, düzenleme sorunları olabilir, [and] Bu oyuna girmeye aç bir davacı barı var. Yani mesele sadece bir şeyler yapmak değil, değil mi? İşleri doğru yapıyor.”