Gehackte SEC wist sinds 2013 van zwakke beveiliging

De Amerikaanse Securities and Exchange Commission (SEC) wist al jaren dat de beveiliging van zijn systemen niet op orde is. Desondanks werd de beurswaakhond in 2016 gehackt.

Dit blijkt uit interne onderzoeksrapporten van de SEC die in handen zijn van de website The Hill. De SEC maakte in september dat kwaadwillenden mogelijk met voorkennis hebben gehandeld op de aandelenbeurs. Hierbij zou gebruik zijn gemaakt van data die is buitgemaakt bij een cyberaanval in 2016, die in 2017 door de SEC werd ontdekt. De aanval was gericht op EDGAR, een systeem dat door beursgenoteerde bedrijven wordt gebruikt om documenten over onder andere overnames, fusies en financiële cijfers in te dienen bij de SEC.

Herhaaldelijke waarschuwingen

Uit de interne onderzoeksrapporten blijkt dat SEC in 2013 al door een inspecteur-generaal werd gewaarschuwd voor de slechte IT-beveiliging van zijn IT-systemen. Ook in de jaren die hierop volgde heeft de inspecteur meerdere malen aan de bel getrokken, waarbij ook oplossingen werden aangedragen om de IT-beveiliging te verbeteren. In juni 2016 - enkele maanden voor de cyberinbraak - trok de inspecteur opnieuw aan de bel en waarschuwde dat verschillende zwakke plekken in de beveiliging niet waren versterkt. De inspecteur uitte onder meer zorgen over kwetsbaarheden met betrekking tot autorisatie van gebruikers en configuratie van computersystemen.

Een speciale cybersecurity unit die onder de inspecteur valt klaagde in 2016 daarnaast over onvoldoende middelen te beschikken om de cyberrisico’s aan te pakken. Daarnaast zouden een strategische visie en duidelijke doelstellingen ontbreken, wat het aanpakken van de beveiligingsproblemen in de weg heeft gestaan.