Borsa Devi ICE 10 Milyon Dolarlık Ceza ile Karşı Karşıya!

Borsalar ve finansal piyasalarda güvenlik hassasiyeti son derece önemlidir. Bu hassasiyetin altını çizen bir olay ise Amerika Birleşik Devletleri Menkul Kıymetler ve Borsa Komisyonu'ndan (SEC) geldi. Dünyanın en büyük borsa ve takas kuruluşları ağını işleten Intercontinental Exchange (ICE), siber saldırı girişimini yetkililere bildirmekte gecikmesi nedeniyle 10 milyon dolarlık bir ceza ödemeye mecbur kaldı.

Nisan 2021'de yaşanan olayda, kötü amaçlı kod içeren bir uygulama, ICE'nin kurumsal ağlarına erişmek için bir VPN cihazına yerleştirildi. SEC raporlarına göre, ICE tehdidi hızla tespit etmesine rağmen, New York Stock Exchange (NYSE) dahil olmak üzere yan kuruluşlarındaki hukuk ve uyum yetkililerine durumu bildirmekte geciktirdi. Bu gecikme, birkaç gün olarak kayıtlara geçti.

Sorunun asıl noktası ise bilgi akışındaki bu gecikme. SEC'nin Uygunluk Sistemleri Uyumu ve Bütünlük (Regulation SCI) yönetmeliği, şirketlerin herhangi bir önemli siber güvenlik olayını derhal komisyona bildirmesini zorunlu tutuyor. Bu gecikme, yetkililerin olayı araştırma ve müdahale etme süresini uzatarak potansiyel riskleri artırıyor.

SEC İnfaz Direktörü Gurbir S. Grewal konuyla ilgili yaptığı açıklamada, "Siber güvenlik söz konusu olduğunda, özellikle kritik piyasa aracılarındaki olaylarda her saniye önemlidir ve dört gün bir sonsuzluk gibi gelebilir" diyerek bu gecikmenin ciddiyetini vurguladı.

ICE'nin cezası, sadece tek bir borsa şirketini ilgilendirmiyor. Dünyanın en büyük borsa ve takas kuruluşları ağına sahip olan ICE bünyesinde, NYSE'nin yanı sıra ICE Futures ABD ve Avrupa, takas kuruluşları ve veri sağlayıcıları gibi birçok yan kuruluş yer alıyor. Bu nedenle, SEC'nin yaptırım uygulaması Archipelago Trading Services, Inc., NYSE American LLC, NYSE Arca, Inc., ICE Clear Credit LLC, ICE Clear Europe Ltd., NYSE Chicago, Inc. ve NYSE National, Inc. dahil olmak üzere birçok ICE yan kuruluşunu da etkiledi.

Cezanın büyüklüğü ise tartışma konusu oldu. SEC Komiserleri Hester Peirce ve Mark Uyeda yaptıkları açıklamada para cezasını "minimal bir olay" için "aşırı tepki" olarak nitelendirdi. Komiserler, nihayetinde ICE'nin yan kuruluşlarının önemsiz olarak değerlendirdiği bir olayı zamanında bildirmeme cezasının bu denli yüksek olması, SEC'nin piyasa güvenliğini sağlamaktan ziyade yüksek cezalar oluşturmaya odaklandığı algısını güçlendirdiğini ifade etti.

Peirce ve Uyeda'nın eleştirisi, aslında daha geniş bir tartışmanın parçası. Kripto para şirketlerine yönelik SEC uygulamaları geçmişte de eleştirilere maruz kalıyordu. Bu durum, SEC'nin geleneksel finans piyasasına aşina olduğu ancak yeniyetme sayılabilecek kripto para piyasasını tam olarak anlayamadığı şeklinde yorumlanıyor.

Siber güvenlik ihlalleri, tüm sektörlerde giderek artan bir tehdit haline geliyor. Bu olay, borsalar ve finansal piyasalar gibi kritik altyapıların siber güvenliğe ne kadar önem vermesi gerektiğini bir kez daha ortaya koyuyor. Aynı zamanda, yetkililerin yeni teknolojilere ayak uydurarak, caydırıcı önlemler alırken orantılı cezalar belirlemesi de gerekiyor.