تلقت هيئة الأوراق المالية والبورصة الأمريكية (SEC) تقريرًا من مكتب المفتش العام (OIG) يزعم أن برنامج الأمن السيبراني الخاص بها كان مفقودًا قبل أسبوعين فقط من اختراق حساب اللجنة X في 9 يناير، وفقًا لمراسلة Fox Business إليانور تيريت. .
تلقت هيئة الأوراق المالية والبورصة تقرير مكتب المفتش العام قبل أسبوعين من اختراق X
غردت إليانور تيريت في 6 مايو حول هذه المشكلة، وسلطت الضوء على تقرير مكتب المفتش العام الصادر في ديسمبر 2023، وهو تقييم مستقل أجرته شركة المقاولات Cotton & Company Assurance and Advisor وخلص إلى أن الهيئة التنظيمية الفيدرالية فشلت في “التخفيف بشكل فعال من نقاط الضعف الأمنية”.
“لتحسين برنامج أمن المعلومات التابع لهيئة الأوراق المالية والبورصات، نحث الإدارة على اتخاذ الإجراءات اللازمة معالجة مجالات المخاطر المحتملة المحددة في هذا التقرير”.
سلطت الوثيقة المكونة من 30 صفحة تقريبًا الضوء على قائمة بالتحسينات التي تشتد الحاجة إليها لبروتوكولات الأمان الخاصة بهيئة الأوراق المالية والبورصة، بما في ذلك الحفاظ على سياسة الكشف عن نقاط الضعف وتسجيل متطلبات الاجتماعات.
🚨جديد: تذكر @SECGov اختراق X من 9 يناير؟ وذكر آخر تحديث من الوكالة في 22 يناير أنها كانت تعمل مع مكتب المفتش العام والعديد من الوكالات الخارجية بما في ذلك مكتب التحقيقات الفيدرالي بشأن الحادث.
ولكن على ما يبدو في عام 2023، حصلت لجنة الأوراق المالية والبورصات OIG على …
– إليانور تيريت (@ إليانور تيريت) 6 مايو 2024
قال ديفيد بوتوم، كبير مسؤولي المعلومات في هيئة الأوراق المالية والبورصات، في رسالة بتاريخ ديسمبر 2023 إلى مكتب المفتش العام: “يسعدني أن تقريرك حدد تحسينات على برنامج أمن المعلومات التابع لهيئة الأوراق المالية والبورصات عبر عدة مجالات، مثل إدارة المخاطر وسلسلة التوريد والتدريب الأمني والتشخيص والمراقبة المستمرة”. . “يواصل مكتب تكنولوجيا المعلومات التابع للجنة الأوراق المالية والبورصة (OIT) التركيز على تحسين النضج في جميع أنحاء البرنامج، على الرغم من أنه لا يتم تقييم جميع المقاييس وتسجيلها كل عام.”
وبعد تلقي تقرير مكتب المفتش العام بشأن برنامجه الأمني ضعيف الأداء، أُمرت الوكالة الفيدرالية بتقديم خطة عمل في غضون 45 يومًا. تم اختراق هيئة الأوراق المالية والبورصة (SEC) بعد فترة وجيزة في 9 يناير عندما تمكن طرف معتمد من الوصول إلى حساب X الخاص باللجنة ونشر إعلانًا مزيفًا للموافقة على صندوق Bitcoin ETF.
تم التساؤل حول برنامج الأمن السيبراني بعد التقرير
وفقا لموقع كوين ديسكأدى الاختراق إلى تصفية 90 مليون دولار، مما أثار مخاوف من التلاعب بالسوق.
يمكن للإعلانات الاحتيالية، مثل تلك التي تم نشرها على وسائل التواصل الاجتماعي التابعة لهيئة الأوراق المالية والبورصة، التلاعب بالأسواق. نحن بحاجة إلى الشفافية بشأن ما حدث.
– السيناتور سينثيا لوميس (SenLummis) 9 يناير 2024
“نشعر بقلق بالغ إزاء هذا الاختراق المزعوم لحساب تويتر التابع لهيئة الأوراق المالية والبورصات” عضوة الكونجرس آن فاغنر معلن. “هذا تلاعب واضح بالسوق أثر على ملايين المستثمرين. أخطط للحصول على المزيد من الإجابات من الرئيس جينسلر حول هذا الحادث.
وتبين لاحقًا أن الوكالة الفيدرالية لم تقم بتمكين المصادقة الثنائية، مما سمح لطرف غير معروف بالوصول إلى حسابات العمولة عبر هجوم مبادلة بطاقة SIM.
وقالت هيئة الأوراق المالية والبورصة في بيان بعد وقت قصير من الاختراق: “تم الوصول إلى رقم الهاتف عبر شركة الاتصالات، وليس عبر أنظمة هيئة الأوراق المالية والبورصة”. “لم يتعرف موظفو هيئة الأوراق المالية والبورصات على أي دليل على أن الطرف غير المصرح له تمكن من الوصول إلى أنظمة هيئة الأوراق المالية والبورصات أو البيانات أو الأجهزة أو حسابات الوسائط الاجتماعية الأخرى.”
وعلى الرغم من نقاط الضعف الواضحة، فمن غير الواضح ما إذا كانت اللجنة الفيدرالية ستواجه توبيخًا على الحادث أو متى.