大水沖倒龍王廟 美SEC去年遭駭 恐已被利用於內線交易

華爾街最高監管機構 SEC 週四因其網路安全和因應方案做法受到猛烈抨擊,SEC 承認駭客在 2016 年就滲透進公司公告數據庫,並可能已用於內線交易

滲透內容涉及美國證券交易委員會 (SEC) 的 EDGAR 申報系統,該系統擁有數百萬份從季度收入到收購聲明的公告資料。

SEC 週三傍晚表示,今年 8 月間發現網路犯罪分子可能利用一個在 2016 年發現的漏洞進行非法交易。

SEC 主席 Jay Clayton 在公開宣布這消息前先向部分國會議員發出了一個「禮貌電話」,美國眾議院監督 SEC 的委員會主席 Bill Huizenga 眾議員透過電話作上述表示。

「這是非常有問題的,作為監督者,我們必須認真對待我們如何保護這些信息。」Huizenga 說。

《路透社》報導,在信用報告公司 Equifax Inc 暴露高達 143 萬名客戶的敏感個人數據後兩週,SEC 自我坦白遭駭。去年全球銀行信息系統 SWIFT 也遭網絡攻擊。

這對 SEC 及其新任主席 Clayton 而言尤其令人尷尬,Clayton 將處理網路犯罪作為其最大的施政方針之一。

網絡諮詢公司總裁兼前 SEC 員工 John Reed Stark 說:「主席顯然了解 SEC 可能在內線交易中成為不知情的推手這種諷刺意味。」

SEC 表示正在調查駭客來源,但並未確切說明發生的情況,或者是那些非公開數據被檢索。該機構說,攻擊者利用 EDGAR 系統的一部分弱點,並且「立即」修復了它。

SEC 提交的大多數報告「通常不包含超敏感信息」,任何內線交易往往都將是在公司申報完後不久,但尚未在向公眾發布之前進行,全國投資者關係機構總裁 Gary LaBranche 表示。

「人們感到震驚和失望,」LaBranche 說。他與 1600 家上市公司共同合作研究,將會對涉及披露事件的異常活動進行審查。

美國總統川普的行政部門已強化在歐巴馬政府時代遭滲透的聯邦機構保護工作,包括人事管理局、國稅局和國務院。

川普 5 月簽署了一份行政命令,要求機構使用特定的框架來評估和管理網路風險,在 90 天內就如何實施提出報告。

當被問及是否該審查觸發了披露時,SEC 沒有回應。但 Clayton 在週三的聲明中表示,他 5 月就開始檢視 SEC 的網路風險。

SEC 委員直到最近才知道遭駭。共和黨 SEC 委員 Mike Piwowar 在 2017 年曾擔任代理主席,他說他「最近首度被告知 2016 年發生入侵事件。」

商品期貨交易委員會 (CFTC) 是美國最大的衍生品監管機構,發言人 Erica Elliott Richardson 在一封電子郵件的聲明中表示,該機構不斷檢查和更新其網路安全保護措施,以防止越來越多的駭客威脅。

「我們成功地挫敗了數以百計的入侵行為。」她補充說。