Het Amerikaanse beursbedrijf Intercontinental Exchange (ICE) heeft een aanklacht dat het een cyberaanval te laat meldde voor 10 miljoen dollar met de Amerikaanse beurswaakhond SEC geschikt. De aanval deed zich begin 2021 voor. Aanvallers wisten via een tot dan toe onbekende kwetsbaarheid de vpn-server van ICE te compromitteren. Vervolgens werd een webshell geïnstalleerd om zo informatie te stelen, waaronder inloggegevens en multifactorauthenticatiecodes van personeel, aldus de SEC.

De aanval raakte negen dochterondernemingen van ICE, waaronder de New York Stock Exchange. Die werden echter niet meteen ingelicht, waarmee Intercontinental Exchange in overtreding van de eigen meldregels was. Door het te laat melden konden de dochterondernemingen niet aan hun wettelijke verplichting voldoen om de aanval bij de Securities and Exchange Commission (SEC) te rapporteren.

Dergelijke aanvallen moeten meteen worden gemeld, maar in het geval van ICE gebeurde dit pas na vier dagen. "Als het om cybersecurity gaat, met name gebeurtenissen bij vitale marktpartijen, telt elke seconde en kunnen vier dagen een eeuwigheid zijn", zegt Gurbir Grewal van de SEC. Volgens hem laat de hoogte van het schikkingsbedrag de ernst van de overtreding zien.