Last Updated on 2024-06-29 05:06 by admin
Intercontinental Exchange (ICE)は、自社の仮想プライベートネットワーク(VPN)に侵入があったことを特定した後、直ちに調査と対策を開始したが、規制当局への報告は4日後になり、米国証券取引委員会(SEC)のコンプライアンス要件および同社の内部サイバーインシデント報告手順に違反した。この違反により、SECはICEに対して1000万ドルの罰金を科した。ICEが報告を遅らせた理由は公にされていない。
SECによると、ICEの職員は侵入をICEの子会社の法務およびコンプライアンス担当者に数日間通知せず、その結果、これらの子会社は独自の規制開示義務を適切に評価できなかった。規制システムのコンプライアンスと整合性に関する規則(Regulation SCI)に基づき、子会社はSECスタッフに直ちに侵入を連絡し、24時間以内に更新を提供する必要があった。
この事件は、コンプライアンスを迂回してインシデント対応を迅速化しようとする他の重要インフラ組織に対する警告となる。企業がデータ侵害を報告しない場合、サイバー保険ポリシーの厳しい検討を受ける可能性がある。適切なセキュリティ対策を持つ企業は、サイバーポリシーにおいてより良い料金と条件を得るが、不足がある企業は高い料金と不利な条件に直面する。
ICEの場合、VPN攻撃は「その運営や市場参加者にほとんど影響を与えない」とSECは述べているが、これは重要インフラに対する攻撃を24時間以内に報告する必要性を変えるものではない。また、ICEは以前にもSECのRegulation SCIに違反しており、適切なバックアップと手順を持っていなかった。
【ニュース解説】
Intercontinental Exchange (ICE)が自社の仮想プライベートネットワーク(VPN)に侵入されたことを発見した後、迅速に調査と対策を開始したものの、規制当局への報告が4日後となり、これが米国証券取引委員会(SEC)のコンプライアンス要件および同社の内部サイバーインシデント報告手順に違反したことが明らかになりました。この違反により、SECはICEに対して1000万ドルの罰金を科しました。この事件は、コンプライアンスを迂回してインシデント対応を迅速化しようとする他の重要インフラ組織に対する警告となります。
この事例から学べる重要なポイントは、サイバーセキュリティインシデントが発生した場合、迅速な対応と同時に、適切な報告手続きを遵守することの重要性です。規制当局への報告が遅れると、企業は罰金の対象となるだけでなく、信頼性や評価にも影響を及ぼす可能性があります。また、サイバー保険ポリシーにおいても、適切なセキュリティ対策と報告手続きの遵守が保険料率や条件に影響を与えるため、企業はこれらの要件を厳守する必要があります。
さらに、この事件はサイバーセキュリティが単なる情報セキュリティの問題ではなく、ビジネスプロセス全体に影響を及ぼす可能性があることを示しています。企業の評判、収益、さらには規制上の問題や訴訟リスクに至るまで、サイバーセキュリティインシデントの影響は広範囲に及びます。そのため、企業はサイバーセキュリティをビジネスの重要な一部として捉え、経営層や取締役会がサイバーセキュリティの脅威に対して適切な理解を持ち、適切な質問をすることが求められます。
このような背景から、企業はサイバーセキュリティインシデント発生時の迅速な対応だけでなく、内部および外部への適切な報告プロセスの確立が必要です。これには、事前に明確なインシデント対応計画と報告手順を策定し、全従業員がこれらのプロセスを理解し、遵守する文化を醸成することが含まれます。また、サイバーセキュリティは絶えず進化する分野であるため、企業は定期的にセキュリティ対策と報告手順を見直し、最新の脅威や規制要件に対応できるようにする必要があります。
from Don't Forget to Report a Breach: A Cautionary Tale.
