יו"ר ה-SEC: "ייקח זמן רב לגלות את היקף הפריצה אלינו"

חקירת הפריצה למערכות הרשות האמריקנית לניירות ערך (ה-SEC), שאירעה ב-2016 ונחשפה באחרונה, תיארך עוד זמן רב – כך אמר ג'יי קלייטון, יו"ר הרשות, בתדרוך בסנאט. עד אז, ציין, לא ניתן יהיה לדעת את היקפה המלא של הפריצה, שייתכן שאפשרה להאקרים להרוויח ממידע פנימי בעסקות בבורסה.

קלייטון העיד בפני ועדת הבנקאות של הסנאט לאחר שחשף שהאקרים פרצו למערכת התיעוד הארגונית המכונה Edgar, שמרכזת מידע פיננסי של הרשות.

חשף את ההפרה רק לנוכח החשש מהשלכותיה

בדבריו הוא ציין כי לא היה מודע לפריצה מ-2016 עד לחודש שעבר, כשהנושא עלה במסגרת חקירה נפרדת ועבר בדיקה פנימית של מחלקת אבטחת הסייבר של הרשות. אחרי שנודע לו על הפריצה, אמר, הוא הזמין חקירה פנימית, וכך גילה שהיא עלולה לאפשר להאקרים לעשות רווח בלתי חוקי על ידי מסחר במניות.

בהופעה הראשונה שלו בפני ועדת הבנקאות של הסנאט מאז שנכנס לתפקידו, התמודד ראש הרשות עם כמה שאלות קריטיות מצד מחוקקים על אופן הטיפול שלה בפריצה, כמו גם עם השאלה כיצד ה-SEC תנהל את הנזק מהפריצה הגדולה לחברת דיווחי האשראי אקוויפקס (Equifax), שנחשף בה המידע האישי של 143 מיליון אנשים – כמחצית מאוכלוסיית ארצות הברית. מקרה זה אירע בין אמצע מאי לסוף יולי, אולם פורסם רק לפני קצת יותר משבועיים.

קלייטון "הועלה על הגריל"

בנוגע להפרה ב-SEC, לפי תיאורי התקשורת האמריקנית, קלייטון "הועלה על הגריל" בוועדה, כשמספר סנאטורים דמוקרטיים הטיחו בו את התהייה מדוע לקח יותר משנה בכדי שהרשות תשכיל לחשוף את הפריצה המדוברת, למרות ההשלכות האפשריות שלה. "אנחנו מבינים שהפרה אירעה תחת קודמיכם, אבל הגילוי – או היעדרו – הוא כולו שלכם", אמר לקלייטון הסנאטור שרד בראון מאוהיו, שהוא הדמוקרט הבכיר בוועדה.

קלייטון הסביר זאת באמרו ש-"ברגע שידעתי מספיק בכדי להבין שהחדירה מ-2016 סיפקה גישה לדיווחי בדיקה לא פומביים ב-Edgar, ושייתכן שהדבר גרם לניצול לרעה של מידע לא ציבורי בעבור רווח בלתי חוקי, חשוב היה לגלות את האירוע ואת פרופיל הסייבר שלנו באופן כללי יותר לציבור האמריקני ולקונגרס".

לדברי קלייטון, האקרים חדרו לכאורה למערכת Edgar באמצעות פגם בתוכנה המותאמת אישית של הרשות. זוהי המערכת שבאמצעותה חברות ציבוריות מגישות מידע ציבורי ופרטים על ענייניהן הכספיים. חברות ומשקיעים שולחים עשרות טפסים באמצעות המערכת, ובהן דיווחים על מכירת ניירות ערך, הנפקות ראשונות לציבור, מידע פיננסי ותוכניות מבניות שלהן.

בעוד שחלקים ניכרים מ-Edgar נגישים לציבור, הוא מכיל גם רשומות פיננסיות פרטיות, שרק הרגולטורים יכולים לראות. גניבה, שימוש או מסחר במידע זה יכולים להפר את הפרטיות הפדרלית ואת חוקי המסחר במידע פנים.

קלייטון לא גילה מי יכול היה לעמוד מאחורי ההתקפה, וכן לא פירט באילו חברות היא התמקדה ומה ההשפעה האפשרית של ההפרה על השווקים. הוא אמר כי לרשות האמריקנית לניירות ערך יש עדיין הרבה מה לגלות על ההפרה ועל השפעתה הפוטנציאלית. עם זאת, הוא טען ש-"החקירה של נושאים אלה, כמו גם היקף ההשפעה של החדירה והפעילות הבלתי חוקית בנושא, נמשכות, ויכול לארוך עוד זמן רב עד שיושלמו". הוא ציין בנוסף שה-SEC מתכננת להעסיק מומחים נוספים בתחום אבטחת הסייבר "בכדי לחזק את המערכות שלה".