Η Intercontinental Exchange (ICE) θα καταβάλει πρόστιμο 10 εκατομμυρίων δολαρίων, λόγω καθυστερημένης αποκάλυψης παραβίασης ενός VPN. Συγκεκριμένα, το πρόστιμο της επιβλήθηκε από την Επιτροπή Κεφαλαιαγοράς των ΗΠΑ (SEC), επειδή η εταιρεία δεν ενημέρωσε αμέσως τις θυγατρικές της και έτσι δεν ανέφεραν έγκαιρα μια παραβίαση Security VPN τον Απρίλιο του 2021.
Σύμφωνα με τον κανονισμό Regulation Systems Compliance and Integrity (Κανονισμός SCI), οι εταιρείες πρέπει να ειδοποιούν αμέσως την SEC για παραβιάσεις ασφαλείας και να παρέχουν update εντός 24 ωρών, εκτός εάν προσδιορίσουν ότι ο αντίκτυπος στις δραστηριότητές τους ή στην αγορά είναι αμελητέος.
THE SEC says ότι στην περίπτωση της Violation της Intercontinental Exchange, δεν ενημερώθηκε για το περιστατικό όπως απαιτείται. Αντ’ αυτού, το προσωπικό της Επιτροπής επικοινώνησε με τις θυγατρικές.
See also: Η OmniVision αποκάλυψε παραβίαση δεδομένων
“Όπως υποστηρίζεται, χρειάστηκαν τέσσερις ημέρες για να αξιολογήσουν τον αντίκτυπό του και να καταλήξουν εσωτερικά στο συμπέρασμα ότι ήταν ένα γεγονός de minimis. Όταν πρόκειται για την ασφάλεια στον cyberspace, ειδικά για συμβάντα σε κρίσιμους φορείς της αγοράς, κάθε δευτερόλεπτο μετράει και τέσσερις ημέρες μπορεί να είναι μια αιωνιότητα“.
Η Intercontinental Exchange ανακάλυψε το περιστατικό στις 15 Απριλίου 2021, αφού ενημερώθηκε από τρίτο, για μια πιθανή εισβολή στο σύστημα που συνδεόταν με μια άγνωστη ευπάθεια στο virtual private network (VPN).
State hackers πίσω από την παραβίαση;
Μεταγενέστερη έρευνα αποκάλυψε ότι οι επιτιθέμενοι ανέπτυξαν κακόβουλο payload σε μια παραβιασμένη συσκευή VPN, που χρησιμοποιούνταν για απομακρυσμένη Accessed at in the corporate network.
“Εξελιγμένοι παράγοντες απειλών, που πιστεύεται ότι είναι κρατικοί hackers, εγκατέστησαν έναν κώδικα webshell σε μια παραβιασμένη συσκευή VPN, σε μια προσπάθεια να συλλέξουν πληροφορίες που περνούν από αυτήν τη Device, συμπεριλαμβανομένων του ονόματος υπαλλήλου, του κωδικού πρόσβασης και των κωδικών ελέγχου ταυτότητας πολλαπλών παραγόντων. Αυτά τα δεδομένα θα μπορούσαν να επιτρέψουν στον επιτιθέμενο να αποκτήσει πρόσβαση σε εσωτερικά εταιρικά δίκτυα“, αποκαλύπτει η SEC.
See also: Hacker λέει ότι αποκάλυψε 70.000 αρχεία του National Parent Teacher Association
Ωστόσο, η ομάδα ασφαλείας της Intercontinental Exchange διαπίστωσε ότι η πρόσβαση περιορίστηκε σε μία μόνο παραβιασμένη συσκευή VPN, παρόλο που υπήρχαν στοιχεία ότι ο επιτιθέμενος έκλεψε “data διαμόρφωσης VPN και ορισμένα user meta-data ICE“.
Η SEC λέει ότι το προσωπικό της ICE δεν ειδοποίησε τους νομικούς και τους compliance officials στις θυγατρικές της εταιρείας για αρκετές ημέρες, παραβιάζοντας τόσο τους κανόνες Reg SCI όσο και τις εσωτερικές διαδικασίες αναφοράς περιστατικών στον cyberspace της ίδιας της ICE. Ως αποτέλεσμα αυτής της αποτυχίας, οι θυγατρικές της ICE απέτυχαν να αξιολογήσουν σωστά την εισβολή και δεν εκπλήρωσαν τις υποχρεώσεις γνωστοποίησης Reg SCI.
Η Intercontinental Exchange και οι θυγατρικές της συναίνεσαν στην εντολή της SEC, αναγνωρίζοντας ότι οι θυγατρικές παραβίασαν τις διατάξεις κοινοποίησης του κανονισμού SCI. Υπεύθυνη για την παραβίαση των διατάξεων είναι η ICE.
Αυτός ο διακανονισμός χρησιμεύει ως υπενθύμιση στις εταιρείες για τη σημασία της έγκαιρης αναφοράς περιστατικών ασφάλειας στον κυβερνοχώρο and the εφαρμογής ισχυρών πολιτικών και διαδικασιών για τον μετριασμό των κινδύνων. Υπογραμμίζει επίσης τον αυξανόμενο έλεγχο από τους ρυθμιστικούς φορείς σχετικά με τις πρακτικές cybersecurity of the companies.
Τα τελευταία χρόνια, έχει σημειωθεί σημαντική αύξηση των επιθέσεων στον κυβερνοχώρο που στοχεύουν επιχειρήσεις, με τους hackers να βρίσκουν συνεχώς νέους τρόπους για να εκμεταλλεύονται τα τρωτά σημεία. Αυτό καθιστά απαραίτητο για τις εταιρείες να διαθέτουν ισχυρά συστήματα για την πρόληψη και την αντιμετώπιση των απειλών στον κυβερνοχώρο.
See also: Panda Restaurant revealed a data breach
Εκτός από τις κυρώσεις από τους ρυθμιστικούς φορείς, οι εταιρείες αντιμετωπίζουν επίσης προβλήματα στη φήμη και οικονομική ζημιά από παραβιάσεις Security. Οι πελάτες μπορεί να χάσουν την εμπιστοσύνη τους στην ικανότητα μιας εταιρείας να προστατεύει τα δεδομένα τους, οδηγώντας σε μειωμένες επιχειρηματικές και πιθανές αγωγές.
Ως εκ τούτου, είναι ζωτικής σημασίας για τις εταιρείες να δώσουν προτεραιότητα στην ασφάλεια στον κυβερνοχώρο και να επενδύσουν σε μέτρα όπως τακτικές αξιολογήσεις κινδύνου, εκπαίδευση εργαζομένων και σχέδια αντιμετώπισης συμβάντων.
Source : www.bleepingcomputer.com
 θα καταβάλει πρόστιμο 10 εκατομμυρίων δολαρίων, λόγω καθυστερημένης αποκάλυψης παραβίασης ενός VPN.){kind=link}