Den AMERIKANSKE Securities and Exchange Commission (SEC), Wall Street ‘ s topp regulator, har oppdaget et sikkerhetsproblem i sin rapport for innlevering database som kan føre til at systemet til å kollapse, ifølge et internt dokument sett av Reuters.
SEC er 22. September memo avslører at dens EDGAR-databasen, som inneholder finansielle rapporter fra det AMERIKANSKE offentlige selskaper og fond, kan stå i fare for å “denial of service” – angrep, en type cyber inntrenging som flom et nettverk, overveldende og det å tvinge det til å lukke.
Oppdagelsen kom da SEK var testing EDGAR ‘ s evne til å absorbere månedlige og årlige finansielle registreringer som vil være nødvendig i henhold til nye regler vedtatt i fjor for $18 milliarder aksjefond bransjen.
Notatet viser at selv en utilsiktet feil av et selskap, og ikke bare hackere med ondsinnede intensjoner, kunne ta systemet ned. Selv innlevering av en stor “ugyldig” form kan overvelde systemets minne.
Feilen kommer etter SEC ‘ s opptak forrige måned at hackere har brutt EDGAR-databasen i 2016.
Oppdagelsen vil sannsynligvis legge til bekymringer om sårbarheten i SEK-nettverket og om byrået har vært tilstrekkelig adressering cyber trusler.
Den aksjefond industri har lenge hatt bekymringer som markedet-sensitive data som kreves i de nye reglene, kan utnyttes hvis det kom i gale hender.
Næringen har siden redoubled sine samtaler for SEK Leder Jay Clayton til å forsinke data-rapportering regler, satt til å gå i kraft i juni neste år, før det er beroliget informasjon er sikker.
“Klart, SEC bør utsette gjennomføringen av sine data rapportering regelen til sikkerhet i disse systemene er grundig testet og vurdert av uavhengig tredjepart,” sa Mike McNamee, administrerende offentlig kommunikasjon officer of The Investment Firma Institute (ICI), hvis medlemmer administrere $20 milliarder verdt av eiendeler i Usa.
“Vi er sikre Formann Clayton, og vil leve opp til sitt løfte om at SEC vil ta de skritt som er nødvendige for å sikre sikkerheten av sine systemer og data de samler inn.”
En SEK talsmann avslått å kommentere.
Reglene ble vedtatt i fjor krever kapitalforvaltere til fil månedlige og årlige rapporter om deres portefølje beholdning var utformet for å beskytte dem i tilfelle av et marked krisen ved å vise SEK og investorer om at de vil ha nok likviditet til å dekke et rush av innløsninger.
I løpet av en Congressional hearing på onsdag, Clayton vitnet om at direktoratet vurderer om å utsette reglene i lys av cyber bekymringer. Han gjorde imidlertid ikke nevne noe om tjenestenekt (denial of service angrep sårbarhet.
Virtuelle spy
EDGAR er depotet for corporate America, bolig millioner registreringer alt fra kvartalsvis inntjening til uttalelser om anskaffelser.
Det er en virtuell skattekiste for cyber kriminelle som kunne handle på informasjon hentet før det offentliggjøres.
I den hack offentliggjort i forrige måned involverer EDGAR, SEC har sagt det nå mener de kriminelle kan ha stjålet den ikke-offentlige data for ulovlig handel.
Sårbarheten er åpenbart i September memo viser at selv en ugyldig form kan papirstopp opp EDGAR.
Systemet gjorde ikke umiddelbart avvise form, memo sier. Snarere “det ble validert for timer før den svikter på grunn av et ugyldig form type.”
Som konklusjon kan stave problemer for SEK er EDGAR-databasen, fordi det betyr at hvis hackere ville, kunne de “i utgangspunktet ta ned hele EDGAR systemet” ved å sende en ondsinnet data fil, sa en cyber security expert, som har erfaring sikre nettverk av finansielle tilsynsmyndigheter som har gjennomgått brev til Reuters.
“Systemet ville forbruke data og i hovedsak kaste opp på seg selv,” den personen som er lagt til.
© Thomson Reuters 2017