"מאגר הדוחות של וול סטריט חשוף לפריצות ועלול לקרוס"

רשות ניירות ערך ארה"ב (SEC), הרגולטורית הראשית של וול סטריט, חשפה חולשה במסד הנתונים של מערכת הדוחות התאגידי שלה, היכולה לגרום לקריסת המערכת. כך על פי מסמך פנימי שהגיע לידי סוכנות הידיעות רויטרס.

תזכיר הרשות מה-22 בספטמבר חושף כי מסד הנתונים EDGAR, המכיל דוחות פיננסיים של חברות ציבוריות וקרנות נאמנות בארה"ב, עלול להיות בסכנת התקפות מסוג "חסימת שירות" - סוג של פריצת סייבר המציפה את הרשת ומאלצת את סגירתה.

הפרצה התגלתה בעת שהרשות ערכה מבדקים ליכולתה של המערכת לקלוט דוחות פיננסיים חודשיים ושנתיים בהתאם לחוקים החדשים שהוחלו בשנה שעברה על תעשיית קרנות הנאמנות, שהיקפה 18 טריליון דולר.

המטה של רשות ניירות ערך בארה"ב, ה-SEC צילום: בלומברג

על פי התזכיר, גם טעות בלתי מכוונת מצד אחת מהחברות המשתמשות במערכת, עלולה לגרום לקריסתה. גם הזנה של דוח רחב היקף ושגוי עלול להציף את הזיכרון של המערכת.

הגילוי הנוכחי מגיע לאחר שבחודש שעבר הודתה הרשות כי האקרים הצליחו לפרוץ למערכת EDGAR ב-2016.

יש להניח כי הגילוי יוסיף לחששות לגבי פגיעות הרשת של רשות ניירות ערך האמריקאית ויכולתה להתמודד כראוי עם איומי סייבר.

ארה"ב: האקרים פרצו למאגר של רשות ני"ע - וגנבו מידע פנים לפי הודעת ה-SEC, הפריצה אירעה ב-2016 והתגלתה רק בחודש שעבר; ייתכן שההאקרים הפיקו רווחים מהמידע שגנבו רפאל קאהאן, 2 תגובות לכתבה המלאה 

בתעשיית הקרנות קיימים זה זמן רב חששת לגבי נתוני שוק קריטיים, שאותם מחייבים החוקים החדשים, ולגבי נפילתם של נתונים אלו לידיים הלא נכונות, והיא מגבירה את הדרישות מיו"ר ה-SEC לדחות את החלת החוקים החדשים ליוני הבא, אז תוכל הרשות להבטיח את בטיחותה של המערכת.

"אין ספק שעל רשות ניירות ערך לדחות את החלתה של מערכת הדוחות החדשה עד שבטיחותה של המערכת תיבדק באופן יסודי ותוערך בידי גופים מצד שלישי", אמר מייק מקנמי, סמנכ"ל קשרי ציבור ב"אינבסטמנט קומפני אינסטטיוט" (The Investment Company Institute) המנהלת בארה"ב נכסים בהיקף של כ-20 טריליון דולר. "אנו סמוכים ובטוחים שיו"ר הרשות קלייטון ימלא את הבטחתו שהרשות תנקוט את כל הצעדים הנחוצים כדי להבטיח את בטיחות המערכות שלה ושל הנתונים שהיא אוספת".

על פי החוקים החדשים, מנהלי נכסים חייבים להגיש דוחות חודשיים ושנתיים לגבי תיקי האחזקות שלהם. חוקים אלו נועדו להגן עליהם במקרה של משבר בשוק באמצעות הוכחת רמת נזילות מספקת היכולה להתמודד עם בהלת פדיונות במקרה של משבר.

במהלך שימוע בקונגרס ביום ד' העיד קלייטון כי הרשות שוקלת אם לדחות את החלת החוקים החדשים לאור חששות הסייבר. אולם הוא לא ציין דבר לגבי הפגיעות של המערכת למתקפת חסימת שירות.

אוצר בלום לעברייני סייבר

מסד EDGAR הוא למעשה המאגר של אמריקה התאגידית, ומחזיק במיליוני דוחות - החל מדוחות רבעוניים וכלה בהצהרות רכישה. משמעות הדבר היא שהמסד הוא אוצר בלום לעברייני סייבר היכולים לסחור על סמך מידע שנגנב בטרם פורסם.

בפריצה שפורסמה בחודש שעבר, הודיעה הרשות כי המידע החסוי שנגנב ממערכת EDGAR נועד כפי הנראה לשמש את ההאקרים למטרות מסחר בלתי חוקי. אולם על פי המידע בתזכיר מספטמבר, גם דוח ארוך שחלה בו אי תאימות או שגיאה עלול לתקוע את המערכת. על אף שהמערכת לא דחתה מיד את הדוח השגוי ששימש לבדיקה, הרי ש"היא אימתה אותו במשך שעות ארוכות בטרם קרסה". דבר זה עלול לגרום לבעיות רבות במערכת משום שמשמעותו שהאקרים יוכלו "למעשה להוריד את כל המערכת באמצעות הזנת מידע שגוי במתכוון", אמר מומחה סייבר שבדק את התזכיר עבור רויטרס. "המערכת עלולה לקלוט את הנתונים ואז בעצם 'להקיא על עצמה'", אמר.