55 views

未披露的证券交易所违约可能导致非法股票交易

By | 2018年11月30日

美国证券交易委员会本周承认,从2016年开始,一项已知但以前未公开的数据泄露可能比该机构先前认为的影响更大。

2017年9月20日,美国证券交易委员会主席Jay Clayton在一份声明中表示,2016年美国证券交易委员会违反EDGAR系统 – 用于存储和搜索公司财务报表 – 可能导致被破坏的数据被用于促进基于内幕信息的非法股票交易。

克莱顿在声明中写道:“我们的EDGAR系统的测试归档组件中的软件漏洞在发现后被及时修补,被利用并导致访问非公开信息。” “我们认为入侵不会导致未经授权访问个人身份信息,危及委员会的运营,或导致系统性风险。”

俄勒冈州波特兰的Tripwire公司首席安全研究员特拉维斯史密斯表示,美国证券交易委员会成为袭击目标并不奇怪。

“证券交易委员会是一个多汁的目标,因为他们存储非公开信息,可用于开发股票市场 – 不是在技术意义上利用,而是利用非公开信息成功投资股市,”史密斯告诉SearchSecurity。“通过合法交易,他们避免了执法部门的监视,扫描黑市,销售被盗信息的罪犯。”

负责任的披露
虽然该机构知道2016年的SEC违规行为,但它从未向公众披露过; 事件的扩大影响直到8月才发现 – 袭击发生后一年多。

可能由于美国证券交易委员会违规行为导致的潜在内幕交易被接纳1400多字,成为关于美联储如何“专注于识别和管理网络安全风险”的4000多字。

克莱顿写道:“我认识到,即使最勤奋的网络安全工作也无法解决企业面临的所有网络风险。” “这种严峻的现实使得充分的披露同样重要。恶意攻击和入侵工作是持续不断的,并且在某些情况下,它们在最强大的机构和SEC本身都取得了成功。除了评估之外,网络安全工作还必须包括预防和缓解,恢复力和恢复。“
位于新泽西州沃伦的风险管理公司Prevalent Inc.的第三方战略高级主管布拉德凯勒告诉SearchSecurity,“这表明……与大多数公司一样,美国证券交易委员会并不完全了解其中的信息。可以使用各种数据库。更进一步,它表明他们并不完全了解真正需要保护的信息。“

美国佛罗里达州Maitland的电子支付提供商Viewpost的CSO克里斯皮尔森表示,美国证券交易委员会的公司财务部门“引发了公共实体披露重大网络安全风险的要求”。

“[这]是美国金融体系和市场的分水岭事件,”Pierson告诉SearchSecurity。“考虑到美国证券交易委员会的神秘发布,从2016年5月到近一年之后,无法知道入侵的程度,但必须假设这些私人文件都是通过EDGAR控制的,他们处于可能的信息区域被瞄准并被解雇。“

加利福尼亚州纽波特海滩的信息安全公司创业公司Obsidian Security的联合创始人兼首席技术官本约翰逊表示,美国证券交易委员会违规事件发生在一年多以前,美国证券交易委员会没有透露这一事实令人不安。

“通过任何妥协,通常很难弄清楚哪些信息被读取和泄露。虽然到目前为止技术细节很少,但可能没有人会确切知道SEC内部的访问内容,”约翰逊告诉SearchSecurity。“将多个事件捆绑在一起的困难与难以知道访问哪些信息相结合意味着从纯粹的网络和数字取证角度来看,证明特定交易与美国证券交易委员会的妥协有关是非常困难的。通常是通过将多种形式的情报拼凑在一起,可以推测其意图,因果关系或相关性。“

发表评论

电子邮件地址不会被公开。 必填项已用*标注