Após sofrer um ataque hacker que movimentou o mercado financeiro na semana passada, legisladores dos EUA estão pressionando a Comissão de Valores Mobiliários (SEC) sobre seus métodos de segurança, visto que a agência federal regula e controla todo mercado financeiro do país.  

O que você precisa saber: 

  • A conta oficial da SEC dos EUA no X (Twitter) foi hackeada na última terça-feira (9) e divulgou informações falsas sobre a aprovação do ETF para bitcoin; 
  • O dia agendado para a agência federal divulgar sua decisão final sobre os pedidos de ETFs para a moeda digital também era na quarta-feira — ela acabou aprovando 11 pedidos (veja mais aqui); 
  • Não apenas a SEC, mas o X se pronunciou sobre a invasão, explicando que o incidente não era sua responsabilidade, já que a conta não usava algumas medidas de segurança, como autenticação de dois fatores; 
  • A SEC não se pronunciou sobre os questionamentos dos legisladores, mas disse em declaração nesta segunda-feira (15) que a equipe continuará avaliando se são necessárias medidas corretivas adicionais. 

Leia mais! 

Segundo divulgado pela Axios, em uma carta enviada ao inspetor-geral da SEC, o senador Ron Wyden e outros legisladores pediram por uma investigação sobre “o aparente fracasso da SEC”. Conforme o documento, é necessário adotar melhores práticas de segurança cibernética. 

publicidade

Pedimos que você investigue as práticas da agência relacionadas ao uso de MFA [autenticação multifator] e, em particular, MFA resistente a phishing, para identificar quaisquer lacunas de segurança remanescentes que devam ser abordadas. 

Ron Wyden em carta enviada à SEC. 

Wyden, que preside o comitê de finanças do Senado, acrescentou ainda que é “imperdoável” a agência federal não usar camadas adicionais de segurança para bloquear suas contas nas redes sociais. 

Dado o potencial óbvio de manipulação de mercado, se a declaração de X estiver correta, as contas de mídia social da SEC deveriam ter sido protegidas usando as melhores práticas do setor.

A agência não apenas deveria ter habilitado a MFA, mas também deveria ter protegido suas contas com tokens de hardware resistentes a phishing, comumente conhecidos como chaves de segurança, sendo o padrão ouro para segurança cibernética de contas. 

A falha da SEC em seguir as melhores práticas de segurança cibernética é imperdoável, especialmente tendo em conta os novos requisitos da agência para divulgação de segurança cibernética. 

Outros senadores também enviaram carta à SEC pedindo explicações sobre as políticas de segurança da agência e uma melhor investigação do hack. O grupo de finanças do Senado deu até 23 de janeiro para um briefing. 

Declacaração da SEC 

A SEC não se pronunciou diretamente sobre os pedidos do Senado, no entanto, o presidente da agência, Gary Gensler, disse nesta segunda-feira (15) que “não há evidências” de que a invasão tenha dado acesso a outros sistemas e dados.  

Em uma declaração sobre o ataque, Gensler enfatizou ainda que a SEC está levando o incidente a sério e avaliando atualmente o impacto da violação de segurança em outras agências, bem como em investidores e mercados de criptomoedas. 

Ele observou que a equipe continuará avaliando se são necessárias medidas corretivas adicionais.