Intercontinental Exchange betaalt boete van $10 miljoen voor het niet melden van cyberinbraak

De Intercontinental Exchange (ICE) zal een boete van $10 miljoen betalen voor het niet informeren van de autoriteiten over een cyberinbraak, aldus een aankondiging van de Amerikaanse Securities and Exchange Commission (SEC).

Kwaadaardige code in VPN-apparaat geplaatst

De inbreuk, die in april 2021 werd ontdekt, betrof kwaadaardige code die in een Virtual Private Network (VPN)-apparaat werd geplaatst om toegang te krijgen tot het bedrijfsnetwerk van ICE. De SEC stelt dat ICE de dreiging snel heeft geïdentificeerd, maar enkele dagen lang verzuimd heeft juridische en nalevingsfunctionarissen bij hun dochterondernemingen, waaronder de New York Stock Exchange, op de hoogte te stellen.

Volgens Regulation Systems Compliance and Integrity (Regulation SCI) van het agentschap moeten bedrijven de SEC onmiddellijk informeren over elk significant cyberveiligheidsincident. SEC-directeur Handhaving Gurbir Grewal verklaarde: “Als het gaat om cyberveiligheid, vooral bij cruciale marktintermediairs, telt elke seconde en kunnen vier dagen een eeuwigheid zijn.”

ICE beheert het grootste netwerk van beurzen en clearinginstellingen ter wereld. Tot de dochterondernemingen behoren beurzen als de New York Stock Exchange (NYSE), ICE Futures U.S. en Europa, naast clearinginstellingen en dataproviders.

Verschillende dochterondernemingen van ICE getroffen

De handhavingsmaatregelen van de SEC betroffen verschillende dochterondernemingen van ICE, waaronder Archipelago Trading Services Inc, New York Stock Exchange LLC, NYSE American LLC, NYSE Arca Inc, ICE Clear Credit LLC, ICE Clear Europe Ltd, NYSE Chicago Inc en NYSE National Inc. Securities Industry Automation Corporation stemde in met een last onder dwangsom naast de geldboete.

In reactie op de boetes brachten SEC-commissarissen Hester Peirce en Mark Uyeda een verklaring uit waarin ze de boete een ‘overreactie’ op een ‘minimaal incident’ noemden. “Deze onevenredig hoge boete voor het niet tijdig melden van een incident waarvan de dochterondernemingen van ICE SCI uiteindelijk hebben vastgesteld dat het de minimis was, suggereert voor ons dat de Commissie zich meer bezighoudt met het opleggen van hoge boetes dan met het waarborgen dat belangrijke marktentiteiten technologische kwetsbaarheden aanpakken.”

Volgens Peirce en Uyeda draagt de boete bij aan de perceptie dat “het boeteregime van de Commissie meer een instrument is om cijfers te genereren voor eindejaarsstatistieken en minder een middel om resultaten te bereiken die de marktintegriteit vergroten.” De commissarissen hadden in het verleden kritiek geuit op de aanpak van de SEC ten aanzien van cryptobedrijven.