Den AMERIKANSKA finansinspektionen (Securities and Exchange Commission (SEC), Wall Street: s högsta tillsynsmyndighet, har upptäckt en sårbarhet i företagets ansökan databas som kan få systemet att kollapsa, enligt ett internt dokument som ses av Reuters.
SEC: s 22 September memo avslöjar att dess EDGAR databas, som innehåller ekonomiska rapporter från den AMERIKANSKA offentliga företag och fonder, kan vara i riskzonen för “denial of service” – attacker, en typ av it-intrång, som fyller ett nätverk, överväldigande det och tvingar det att stänga.
Upptäckten kom när SEC testa EDGAR förmåga att absorbera den månatliga och årliga finansiella rapporter som kommer att krävas enligt de nya regler som antogs förra året för $18 biljoner fond branschen.
Promemorian visar att även en oavsiktliga fel från ett företag, och inte bara hackare med illvilliga avsikter, som kan ta ner systemet. Även inlämning av ett stort “ogiltig” form kan överväldiga systemets minne.
Felet kommer efter SEC: s entré i förra månaden att hackare har brutit mot databasen EDGAR 2016.
Upptäckten kommer sannolikt lägga till handlar om sårbarheten i SEC: s nätverk och huruvida myndigheten har varit på lämpligt sätt ta itu med it-hot.
Den fond branschen har länge haft funderingar på att marknaden känsliga uppgifter som krävs i de nya reglerna skulle kunna utnyttjas om det kom i fel händer.
Branschen har sedan fördubblade sina samtal för SEK Ordförande Clayton Jay att fördröja data-rapportering regler, som att gå i kraft i juni nästa år, tills det lugnade den information som kommer att vara säkra.
“Klart, SEC ska skjuta upp genomförandet av sina uppgifter i regel tills säkerheten av dessa system är noggrant testade och utvärderade av oberoende tredje part”, säger Mike McNamee, chief public communications officer av Investment Company Institute (ICI), vars medlemmar hantera 20 biljoner dollar till ett värde av tillgångar i Usa.
“Vi är övertygade om Ordförande Clayton kommer att leva upp till sitt löfte om att SEK kommer att vidta de åtgärder som är nödvändiga för att säkerställa säkerheten i sina system och de data man samlar in.”
En SEK pressekreterare avböjt att kommentera.
De regler som antogs förra året kräver kapitalförvaltare att filen månatliga och årliga rapporter om deras innehaven i portföljen var utformad för att skydda dem i händelse av en marknad krisen genom att visa SEC och investerare att de har tillräckligt med likviditet för att täcka en rush av inlösen.
Under ett Kongressförhör på onsdag, Clayton vittnade att myndigheten överväger att fördröja regler i ljuset av it-frågor. Det gjorde han dock inte nämna något om denial of service-attack sårbarhet.
Virtuella kräkas
EDGAR är slutförvaret för corporate America, bostäder miljontals anmälningar som sträcker sig från kvartalsresultat att uttalanden om förvärv.
Det är en virtuell guldgruva för cyber brottslingar som kunde handla på all information som samlats in innan den offentliggörs.
I hack avslöjade förra månaden där EDGAR, SEC har sagt att det nu anser att brottslingar kan ha stulit icke-offentliga data för olaglig handel.
Sårbarheten avslöjade i September memo visar att även en ogiltig form kunde stoppa upp EDGAR.
Systemet inte omedelbart förkasta form, memo säger. Snarare, “det var som valideras i timmar innan misslyckas på grund av att en felaktig form typ.”
Som slutsats kan stava problem för SEC: s EDGAR databasen eftersom det innebär att om hackare ville, de kunde i princip ta ner hela EDGAR-system” genom att skicka in en skadlig data fil, sade en cyber security expert med erfarenhet säkra nätverk för tillsynsmyndigheter som granskat en skrivelse till Reuters.
“Systemet skulle konsumera data och i huvudsak kasta upp på sig själv,” den person som lagt till.
© Thomson Reuters 2017