Tiempo de lectura aprox: 2 minutos, 31 segundos
Las entidades involucradas en la acción de cumplimiento, emitida hoy por la autoridad regulatoria de los mercados de valores de EUA, incluye a la bolsa de valores más grande del mundo (NYSE) y a otros intermediarios “destacados”, los cuales, debido a su influencia en los mercados financieros, se encuentran sujetos a “estrictos requisitos de presentación de informes” en caso de detectar eventos cibernéticos de riesgo.
La Comisión de Bolsa y Valores (SEC, por sus siglas en inglés) dijo el miércoles que la plataforma tecnológica de intercambio The Intercontinental Exchange, Inc. (ICE) acordó pagar una multa de 10 millones de dólares (mdd) “para resolver los cargos que causaron que nueve subsidiarias de propiedad absoluta, incluida la Bolsa de Valores de Nueva York (NYSE, por sus siglas en inglés), no informaran oportunamente a la SEC de una ciberintrusión”.
La acción está contemplada en el Reglamento de Cumplimiento e Integridad de Sistemas (Reg SCI, por sus siglas en inglés), y su cumplimiento es obligatorio.
La autoridad supervisora de los mercados de valores de EUA dijo que en abril del 2021 un tercero informó a ICE que podía estar potencialmente afectado por una intrusión en su sistema, que involucraba una vulnerabilidad previamente desconocida en la red privada virtual (VPN, por sus siglas en inglés) de ICE.
ICE inició una investigación y pudo determinar “de inmediato” que un actor de amenazas había insertado un código malicioso en un dispositivo VPN utilizado para acceder de forma remota a la red corporativa de ICE, según la información de la SEC, pero la orden de la autoridad determinó también que el personal de ICE “no notificó a los funcionarios legales y de cumplimiento de las subsidiarias de ICE sobre la intrusión durante varios días, en violación de los propios procedimientos internos de informe de incidentes cibernéticos de ICE”.
Derivado de las fallas presentadas por la compañía, sus subsidiarias no evaluaron adecuadamente la intrusión para cumplir con sus obligaciones regulatorias, independientes a la divulgación bajo el Reglamento SCI, que les exigía comunicarse de inmediato con el personal de la SEC sobre la intrusión, así como proporcionar una actualización dentro de las 24 horas, a menos que concluyeran de inmediato, o “razonablemente” estimaran que la intrusión no tuvo o tendría ningún impacto o un impacto de mínimo en sus operaciones, o entre los participantes del mercado.
“Los encuestados en la acción de cumplimiento de hoy incluyen la bolsa de valores más grande del mundo y una serie de otros intermediarios destacados que, dadas sus funciones en nuestros mercados, están sujetos a estrictos requisitos de presentación de informes cuando experimentan eventos cibernéticos.
Pierden la oportunidad
De acuerdo con el Reglamento SCI, las entidades deben notificar inmediatamente a la SEC sobre las intrusiones cibernéticas en los sistemas relevantes que no pueden estimar “razonablemente” como eventos mínimos de inmediato.
El director de la División de Cumplimiento de la SEC, Gurbir S. Grewal dijo que el razonamiento detrás de la regla es simple: si la autoridad recibe múltiples informes sobre varios de estos tipos de entidades, entonces puede tomar medidas rápidas para proteger a los mercados y a los inversionistas.
“En este caso, los encuestados sujetos a Reg SCI (Reglamento SCI) no notificaron a la SEC de la intrusión en cuestión como se requería. Más bien, fue el personal de la Comisión quien se puso en contacto con los encuestados en el proceso de evaluación de informes de vulnerabilidades cibernéticas similares”, de acuerdo con Grewal.
Como se alega en la orden, en cambio, tardaron cuatro días en evaluar su impacto y concluir internamente que se trataba de un evento de “minimis” (razonablemente mínimos); el funcionario de la SEC acusó que cuando se trata de ciberseguridad, especialmente eventos en intermediarios críticos del mercado, “cada segundo cuenta y cuatro días pueden ser una eternidad”.
La orden y la sanción de hoy no sólo reflejan la gravedad de las violaciones de los demandados, sino también que varios de ellos han sido objeto de una serie de acciones de cumplimiento anteriores de la SEC, incluso por violaciones de Reg SCI”.
Sin admitir ni negar las conclusiones de la SEC, ICE y sus subsidiarias, compuestas por Archipelago Trading Services, Inc.; Bolsa de Valores de Nueva York LLC; Bolsa de Nueva York American LLC; Bolsa de Nueva York Arca, Inc.; ICE Clear Credit LLC; ICE Clear Europa Ltd.; Bolsa de Nueva York Chicago, Inc.; Bolsa de Nueva York Nacional, Inc.; y la Securities Industry Automation Corporation acordaron una orden de cese y desistimiento, además de la sanción monetaria del ICE.