Sumario

Por qué este caso pertenece a un expediente de riesgo y responsabilidad

ION Cleared Derivatives pertenece a un expediente de riesgo y responsabilidad porque muestra cómo un único proveedor de tecnología puede convertirse en un cuello de botella para la continuidad en un mercado construido sobre obligaciones distribuidas. Los miembros compensadores, corredores, bolsas, usuarios finales, reguladores y plataformas de procesamiento de operaciones no están todos dentro de una misma empresa. Sin embargo, una interrupción en un proveedor puede impedir que muchas firmas procesen operaciones, completen informes, validen datos y se reconecten de forma segura con el resto del mercado.

La declaración pública de ION enhttps://iongroup.com/press-release/markets/cleared-derivatives-cyber-event/dice que ION Cleared Derivatives, una división de ION Markets, experimentó un evento de ciberseguridad que comenzó el 31 de enero de 2023 y afectó algunos de sus servicios. Afirma que el incidente se contuvo en un entorno específico, que todos los servidores afectados se desconectaron y que la remediación de los servicios estaba en curso. Esa declaración es breve, pero es la fuente directa de la empresa sobre la existencia, fecha, marco de contención, decisión de desconexión y postura de remediación.

La declaración de la CFTC enhttps://www.cftc.gov/PressRoom/SpeechesTestimony/cftcstatement020223ofrece la visión pública del regulador dos días después. Dice que el personal de la CFTC trabajó con otros reguladores, participantes del mercado y partes afectadas para comprender el ciberincidente y ayudar a garantizar que los mercados de derivados regulados por la CFTC no se vieran comprometidos. Dice que el problema afectó la capacidad de algunos miembros compensadores para proporcionar datos oportunos y precisos a la CFTC. También dice que el informe semanal de Compromisos de los Comerciantes se retrasaría hasta que todas las operaciones pudieran informarse, y que las empresas afectadas debían utilizar las mejores estimaciones para los informes diarios de grandes comerciantes y presentar informes revisados una vez que los sistemas estuvieran operativos.

Ese es el marco de responsabilidad. El incidente no tuvo que destruir una cámara de compensación o paralizar un mercado completo para ser importante. Afectó el canal de evidencia. Los reguladores necesitaban datos oportunos y precisos. Los usuarios del mercado esperaban el informe de Compromisos de los Comerciantes. Los miembros compensadores tenían obligaciones legales y operativas de presentación de informes.

Si una interrupción de un proveedor impide esas salidas, la cuestión de la responsabilidad se convierte en cómo las empresas, los proveedores, los reguladores y los organismos del sector coordinan la presentación de informes en modo degradado sin convertir las estimaciones y el trabajo manual en un punto ciego permanente.

El caso también es importante porque el registro público posterior a la acción es inusualmente explícito. El informe de la FIA de septiembre de 2023 dice que la interrupción fue provocada por un ataque de ransomware a un único proveedor de servicios externo utilizado por muchos corredores de compensación a nivel mundial. Dice que el ataque demostró que una interrupción en un único proveedor de servicios puede tener efectos perjudiciales en una amplia gama de empresas y amenazar el funcionamiento ordenado del mercado.

También dice que algunas empresas afectadas necesitaron hasta dos semanas de trabajo intensivo para recopilar y procesar los registros de operaciones faltantes y reconectar sus sistemas al resto del mercado. Esa es una declaración clara de concentración y carga de recuperación.

El cronograma público confirmado pasó de la contención al retraso en la presentación de informes y luego a la recuperación

El cronograma público confirmado comienza el 31 de enero de 2023, la fecha en la declaración de ION. La empresa dijo que algunos servicios se vieron afectados, que el incidente se contuvo en un entorno específico, que los servidores afectados se desconectaron y que la remediación estaba en curso. La declaración pública no identifica al atacante, el vector de acceso inicial, la exposición de datos, la demanda de rescate, el número de clientes ni el cronograma de restauración sistema por sistema. Por lo tanto, el artículo trata esos detalles como desconocidos a menos que estén respaldados por otra evidencia pública.

El 1 de febrero, la FIA publicó un comentario público enhttps://www.fia.org/fia/articles/fia-comments-ion-group-cyber-incident. La FIA dijo que estaba al tanto de los problemas de red causados por un ciberincidente en ciertos sistemas de ION Group que estaban afectando la negociación y compensación de derivados negociados en bolsa por parte de clientes de ION en los mercados globales. La FIA dijo que estaba trabajando con los miembros afectados, incluidas empresas de compensación y bolsas, así como con reguladores del mercado y otros, para evaluar el impacto en la negociación, el procesamiento y la compensación. También dijo que estaba coordinando la comunicación y el intercambio de información a través de llamadas periódicas para evaluar las empresas afectadas, cómo las empresas podrían mitigar la interrupción y obtener claridad sobre las obligaciones regulatorias y de presentación de informes afectadas.

El 2 de febrero, la CFTC publicó su primera declaración pública. Dijo que el problema afectó la capacidad de algunos miembros compensadores para proporcionar datos oportunos y precisos. Vinculó el incidente con el retraso de los datos requeridos por los registrantes y el retraso del informe semanal de Compromisos de los Comerciantes. Instruyó a las empresas de informes afectadas a utilizar las mejores estimaciones para los informes diarios de grandes comerciantes y presentar informes revisados una vez que los sistemas estuvieran operativos.

Esta es una notable instrucción pública de modo degradado: continuar con el cumplimiento tanto como sea posible, usar estimaciones cuando sea necesario, coordinar con el personal y reparar el registro más tarde.

El 10 de febrero, la CFTC emitió un seguimiento enhttps://www.cftc.gov/PressRoom/PressReleases/8655-23. Dijo que el impacto del incidente se había mitigado, pero las empresas responsables de la presentación de informes seguían experimentando problemas con la presentación de datos oportunos y precisos. Dijo que el informe de Compromisos de los Comerciantes continuaría retrasándose hasta que todas las operaciones pudieran informarse y se publicaría un informe después de la recepción y validación. Nuevamente instó a las empresas afectadas a continuar con los mejores esfuerzos para acelerar las obligaciones de cumplimiento y presentar informes revisados una vez que los sistemas estuvieran operativos.

El 16 de febrero, la CFTC anunció enhttps://www.cftc.gov/PressRoom/PressReleases/8662-23que el informe de Compromisos de los Comerciantes normalmente programado para el 17 de febrero se pospondría. El personal tenía la intención de reanudar la publicación a partir del 24 de febrero, comenzando con el informe originalmente programado para el 3 de febrero, y luego emitir secuencialmente los informes atrasados de manera acelerada, sujeto a la presentación de datos precisos y completos. Por lo tanto, el registro público muestra un retraso en la presentación de informes medido en semanas, no en horas.

El cronograma es importante porque cada fase tenía un deber de responsabilidad diferente. Durante la contención, ION tuvo que aislar los servidores afectados y remediar los servicios. Durante la respuesta del mercado, los miembros compensadores y las bolsas tuvieron que continuar negociando, compensando y procesando cuando fuera posible e identificar las obligaciones regulatorias afectadas. Durante la respuesta del regulador, el personal de la CFTC tuvo que preservar las expectativas de cumplimiento mientras permitía las mejores estimaciones y los informes revisados.

Durante la recuperación, todas las partes tuvieron que validar los datos acumulados antes de que pudieran reanudarse los informes públicos.

El incidente expuso la concentración de terceros en los flujos de trabajo posteriores a la negociación

La concentración de terceros a menudo se discute como un problema de nube, centro de datos o red de pagos. El incidente de ION muestra que la concentración también puede residir en software especializado posterior a la negociación. Los mercados de derivados negociados en bolsa y compensados no son solo motores de comparación y cámaras de compensación. También dependen de herramientas de gestión de órdenes, ejecución, negociación, asignación, cesión, captura de operaciones, compensación, liquidación, conciliación, riesgo y presentación de informes regulatorios.

Un proveedor que se sitúa en esos flujos de trabajo puede volverse crítico incluso si no es la contraparte central.

El informe posterior a la acción de la FIA es la fuente pública clave para este punto. Dice que un ataque de ransomware a un único proveedor de servicios externo utilizado por muchos corredores de compensación a nivel mundial provocó una interrupción significativa en el procesamiento de operaciones ejecutadas en múltiples bolsas. Dice que el ataque fue notable por su escala y gravedad, y que demostró cómo una interrupción en un único proveedor de servicios puede tener efectos perjudiciales en una amplia gama de empresas.

También dice que el grupo de trabajo trabajó bajo la presunción de que futuros ataques tendrán éxito, centrándose en la recuperación en lugar de asumir que la prevención siempre funcionará.

Ese marco es útil porque evita dos posiciones débiles. La primera posición débil es asumir que si los mercados regulados no se vieron comprometidos, el incidente fue simplemente un problema de proveedor. Las declaraciones de la CFTC muestran por qué eso es demasiado restrictivo: los informes y los datos públicos del mercado se retrasaron. La segunda posición débil es asumir que la ciberseguridad se trata solo de prevenir la entrada. El informe de la FIA dice que los futuros ataques deben asumirse y que la recuperación debe mejorarse. En mercados complejos, la calidad de la recuperación es un problema de control del mercado.

La inferencia respaldada es que las empresas que dependen de un proveedor compartido necesitan un inventario de dependencias vivo, no una lista estática de proveedores. Un inventario vivo debe mostrar qué funciones comerciales dependen del proveedor, qué informes dependen de los datos del proveedor, qué soluciones manuales existen, qué empleados pueden operarlas, qué clientes se ven afectados, qué bolsas y cámaras de compensación están involucradas, qué reguladores necesitan notificaciones y qué puertas de reconexión deben cumplirse antes de que se reanuden los flujos normales.

Quedan incógnitas. El registro público no identifica a todos los clientes de ION, todas las bolsas afectadas, todos los productos afectados, todos los registros de operaciones faltantes ni todas las soluciones manuales. Tampoco muestra cómo cada empresa individual había contratado resiliencia, acceso a datos, objetivos de tiempo de recuperación, derechos de auditoría, notificación cibernética o soporte de reconexión. El artículo no afirma esos detalles. Identifica las categorías de evidencia que importan cuando un proveedor respalda a muchas empresas.

Los retrasos en la presentación de informes convirtieron una interrupción de un proveedor en un problema de evidencia pública de mercado

Las declaraciones de la CFTC son importantes porque muestran que el incidente pasó de la recuperación privada del proveedor a los datos regulatorios públicos. El informe de Compromisos de los Comerciantes es ampliamente utilizado por participantes del mercado, analistas e investigadores para comprender el posicionamiento. Un retraso en ese informe no es lo mismo que una paralización del mercado, pero es una brecha de evidencia pública. Significa que los reguladores y los usuarios están esperando datos completos, precisos y validados de las empresas afectadas.

La declaración de la CFTC del 2 de febrero dice que las empresas de informes afectadas no tenían suficiente información en ese momento para preparar completamente los informes diarios de grandes comerciantes requeridos según la Parte 17 de las regulaciones de la CFTC. Los requisitos de informes de grandes comerciantes de la Parte 17 de la CFTC están disponibles a través del texto de la regulación enhttps://www.ecfr.gov/current/title-17/chapter-I/part-17. La declaración instruyó a las empresas afectadas a utilizar las mejores estimaciones y presentar informes revisados una vez que los sistemas estuvieran operativos. Ese lenguaje preserva la responsabilidad: las estimaciones se permiten como un puente temporal, pero deben revisarse cuando el registro esté disponible.

Los comunicados de la CFTC del 10 y 16 de febrero muestran que el problema de presentación de informes persistió incluso después de que se hubiera mitigado el impacto. El comunicado del 16 de febrero describió un plan de recuperación secuencial, comenzando con el informe atrasado del 3 de febrero y luego emitiendo informes atrasados de manera acelerada, sujeto a datos acumulados precisos y completos. Ese es un ejemplo práctico de gobernanza de presentación de informes en modo degradado. El regulador no simplemente publicó datos incompletos porque el mercado quería un informe. Esperó la recepción y validación.

La inferencia respaldada es que la continuidad de la presentación de informes regulatorios debe diseñarse antes de un incidente. Las empresas deben saber qué informes dependen de los sistemas del proveedor, qué datos fuente se pueden exportar, cómo se crean las estimaciones, quién las aprueba, cómo se rastrean las revisiones, cómo se notifica a los reguladores y cómo se validan los registros acumulados. El proveedor debe saber qué exportaciones de datos de clientes se necesitan para respaldar la presentación de informes degradados, y los clientes no deberían tener que realizar ingeniería inversa durante una interrupción.

La cuestión pública de responsabilidad no es si el personal de la CFTC manejó el retraso de manera razonable; el registro público sugiere un enfoque estructurado. La cuestión es si los participantes del mercado y los proveedores tenían suficiente capacidad de portabilidad de datos y reconstrucción de informes planificada previamente. El informe de la FIA sugiere que algunas empresas necesitaron trabajo intensivo para recopilar y procesar los registros de operaciones faltantes. Eso implica una brecha entre los flujos de trabajo automatizados normales y las necesidades de evidencia de emergencia.

La reconexión es una decisión de control, no solo un reinicio técnico

La declaración de ION dice que los servidores afectados se desconectaron. El informe posterior a la acción de la FIA luego enfatizó la reconexión como una lección importante. La reconexión en un entorno de mercado financiero no es simplemente volver a conectar los sistemas. Requiere garantía de que el entorno está limpio, los datos son precisos, las interfaces son seguras, las contrapartes están listas, los reguladores están informados y los clientes entienden qué registros se procesaron normalmente y cuáles necesitan conciliación.

El informe de la FIA dice que la reconexión requirió certificaciones y que los requisitos dispares agregaron demora. Trata la reconexión como uno de los pasos críticos en el proceso de recuperación. Eso importa porque cada empresa afectada tiene que decidir cuándo es seguro reconectarse a un proveedor que sufrió un ciberincidente, y cada proveedor tiene que proporcionar suficiente evidencia para satisfacer a clientes con diferentes políticas de riesgo, reguladores, cámaras de compensación, bolsas y estándares de control interno.

La inferencia respaldada es que los estándares de reconexión deben negociarse previamente. Las empresas no deberían descubrir durante un evento de ransomware que cada cliente requiere un paquete de evidencia diferente, cada bolsa tiene un umbral diferente, cada regulador espera una notificación diferente y cada comité de riesgo interno solicita certificaciones diferentes.

Un paquete de reconexión básico podría incluir estado de contención del incidente, alcance del entorno afectado, evidencia de erradicación de malware, comprobaciones de integridad, estado de conciliación de datos, revisión de acceso privilegiado, estado de parches y configuración, validación de terceros y una declaración clara del riesgo residual.

La reconexión también tiene implicaciones de equidad de mercado. Si algunas empresas se reconectan antes que otras porque sus requisitos de evidencia son más ligeros, la capacidad operativa puede regresar de manera desigual. Eso no prueba injusticia o mala conducta. Significa que la reconexión no es solo un juicio de ciberseguridad. Afecta la negociación, la compensación, la presentación de informes, el servicio al cliente, la carga de personal y potencialmente la posición competitiva.

Un buen marco de responsabilidad debería hacer que esos criterios de reconexión sean lo suficientemente transparentes como para ser predecibles antes del próximo incidente.

El artículo no afirma que las decisiones de reconexión de ION fueran deficientes. La evidencia pública no permite esa conclusión. Dice que el evento demostró que la reconexión en sí misma debería ser un estándar de control de la industria, porque un proveedor que sirve a muchos corredores de compensación no puede restaurar la confianza una conversación bilateral a la vez.

Los miembros compensadores cargaron con la carga operativa del incidente de otro

Uno de los problemas difíciles de responsabilidad en incidentes de proveedores es la transferencia de costos. Un proveedor puede ser la parte comprometida, pero los clientes asumen la carga operativa. En el incidente de ION, los miembros compensadores y otras empresas tuvieron que evaluar los procesos afectados, continuar la actividad del mercado cuando fuera posible, preparar mejores estimaciones, luego presentar informes revisados, recopilar registros de operaciones faltantes, procesar acumulaciones y satisfacer los requisitos de reconexión internos y externos. Ese trabajo no es gratuito.

El comentario de la FIA del 1 de febrero dice que la asociación trabajó con los miembros afectados, empresas de compensación, bolsas, reguladores del mercado y otros para evaluar el impacto en la negociación, el procesamiento y la compensación. Eso significa que la carga se distribuyó en toda la industria. El informe posterior a la acción de la FIA dice que algunas empresas afectadas necesitaron hasta dos semanas de trabajo intensivo para recopilar y procesar los registros de operaciones faltantes y reconectar los sistemas. Esa es una declaración directa del esfuerzo de recuperación del lado del cliente.

La inferencia respaldada es que los contratos de terceros y los programas de resiliencia deberían asignar las obligaciones de recuperación con más precisión. Si un proveedor respalda funciones críticas posteriores a la negociación, los contratos deberían abordar los derechos de exportación de datos, el soporte de emergencia, los plazos de notificación de incidentes, los objetivos de recuperación, el aseguramiento independiente, la evidencia de reconexión, la participación en pruebas, la responsabilidad, la coordinación con el cliente y la asistencia frente al regulador.

Si esos términos son vagos, los clientes pueden descubrir durante un incidente que sus derechos teóricos de continuidad no se traducen en datos y soporte utilizables.

Esto no es solo un problema contractual bilateral. Los comentarios del Departamento del Tesoro enhttps://home.treasury.gov/news/press-releases/jy2029discuten la resiliencia operativa, la transparencia, la concentración y la necesidad de que los proveedores de servicios asuman más responsabilidad por la seguridad de los clientes. Si bien esos comentarios no son hallazgos específicos sobre ION, capturan un tema de política que encaja con el caso: donde los clientes del sector financiero dependen de proveedores de tecnología concentrados, la carga de la resiliencia no debería recaer completamente en el cliente.

Las incógnitas son importantes. El registro público no divulga los contratos de ION, los compromisos de nivel de servicio, las comunicaciones de recuperación con los clientes, los créditos financieros, los costos del incidente, las reclamaciones de seguros, la postura de litigio ni ningún acuerdo regulatorio con ION. El artículo no infiere esos hechos. Dice que el registro público del incidente hace que esas categorías de responsabilidad sean relevantes.

La atribución del ransomware debe tratarse con cautela

Informes públicos, incluido Reuters enhttps://www.reuters.com/technology/hackers-say-ransom-paid-case-derivatives-data-firm-ion-company-declines-comment-2023-02-03/, discutieron afirmaciones de hackers y aseveraciones relacionadas con el rescate. Otros informes describieron afirmaciones de LockBit y posible contexto de pago. Esos informes son útiles para comprender la narrativa pública y la preocupación del mercado, pero no se tratan aquí como prueba de un pago de rescate, exfiltración de datos o causa raíz técnica.

La razón de la cautela es la misma que en otros expedientes de responsabilidad por ransomware. Los atacantes tienen incentivos para exagerar. Un listado en la dark web no es un informe forense. Una afirmación de rescate puede ser imposible de verificar a partir de fuentes públicas. Un informe de que la empresa declinó hacer comentarios no es una confirmación. El análisis público debe evitar convertir el marketing del adversario en un hecho establecido.

Los hechos públicos confirmados son suficientes. ION confirmó un evento de ciberseguridad que afectó algunos servicios, contención en un entorno específico, desconexión de servidores y remediación en curso. La CFTC confirmó retrasos en la presentación de informes e impactos en la capacidad de algunos miembros compensadores para proporcionar datos oportunos y precisos. La FIA confirmó la coordinación de la industria y luego describió la interrupción como provocada por un ataque de ransomware a un único proveedor utilizado por muchos corredores de compensación.

Esas fuentes establecen el caso de responsabilidad sin depender de afirmaciones de actores de amenazas.

La guía de ransomware de CISA enhttps://www.cisa.gov/stopransomware/ransomware-guide, el Marco de Ciberseguridad de NIST enhttps://www.nist.gov/cyberframeworky NIST SP 800-61 Rev. 3 enhttps://csrc.nist.gov/pubs/sp/800/61/r3/finalproporcionan contexto general para la respuesta a incidentes, recuperación, comunicación y mejora. No son pruebas privadas sobre ION. Ayudan a definir lo que una respuesta madura debería documentar.

Por lo tanto, el artículo mantiene un límite firme. Puede decir que el evento se discutió públicamente como ransomware porque el informe posterior a la acción de la FIA utiliza ese marco. Puede decir que Reuters informó afirmaciones de hackers. No puede decir que se pagó el rescate, que se robaron datos particulares, que se explotó una vulnerabilidad particular o que un actor particular fue definitivamente responsable a menos que una fuente pública principal lo establezca.

La respuesta de la CFTC muestra cómo puede funcionar el cumplimiento en modo degradado

Las declaraciones públicas de la CFTC son útiles porque no pretenden que la presentación de informes continuara normalmente. Reconocen que algunas empresas carecían de suficiente información para preparar completamente los informes diarios de grandes comerciantes. Permiten las mejores estimaciones, requieren coordinación con el personal y requieren informes revisados después de que los sistemas estén operativos. Retrasan el informe de Compromisos de los Comerciantes hasta que las operaciones puedan informarse y los datos sean validados. Ese es un modelo pragmático de cumplimiento en modo degradado.

Esto importa porque los mercados regulados no pueden esperar a que se complete la recuperación perfecta antes de que se reanuden todas las obligaciones. Al mismo tiempo, no pueden tratar las estimaciones como definitivas. La respuesta de la CFTC creó un puente: mejores esfuerzos ahora, revisiones después, publicación después de la validación, recuperación secuencial. Ese modelo es aplicable más allá de la presentación de informes de derivados. En cualquier ciberincidente de mercado financiero, los reguladores necesitan una forma de recibir datos provisionales sin perder el registro probatorio final.

La inferencia respaldada es que las empresas deberían tener manuales de "estimar y revisar" para informes regulados. El manual debería definir cuándo se permiten las estimaciones, cómo se etiquetan internamente, qué fuentes de datos las respaldan, quién las aprueba, qué nivel de confianza se asigna, cómo se generan los informes revisados, cómo se explican las diferencias y cómo se conserva el registro final. Sin esos controles, las estimaciones pueden convertirse en conjeturas incontroladas. Con controles, las estimaciones pueden mantener informados a los reguladores mientras se preserva la obligación de corregir.

El registro público no muestra cómo cada empresa de informes afectada implementó la instrucción de la CFTC. No muestra si las estimaciones fueron materialmente inexactas, cuántos informes revisados se presentaron, cuántas empresas se vieron afectadas o si se siguió alguna acción de cumplimiento contra un informante específico. El artículo no afirma esos resultados. Identifica las declaraciones de la CFTC como evidencia de un modo degradado gestionado por el regulador.

La lección más amplia de responsabilidad es que los reguladores y los organismos del sector deberían predefinir categorías de informes degradados para incidentes de terceros. Si un proveedor crítico está caído, las empresas deberían saber qué campos pueden estimarse, qué campos no, qué informes deben presentarse tarde, qué revisiones son obligatorias y qué informes públicos deben esperar la validación. El incidente de ION mostró que estas preguntas no son teóricas.

La coordinación de la industria fue necesaria porque ninguna empresa poseía todo el problema

El papel de la FIA es importante porque ningún miembro compensador individual podía resolver una interrupción de proveedor que afectaba a múltiples empresas por sí solo. La FIA coordinó la comunicación y el intercambio de información, realizó llamadas con las partes relevantes, evaluó a las empresas afectadas, exploró la mitigación y buscó claridad sobre las obligaciones regulatorias y de presentación de informes. Más tarde, la FIA creó un grupo de trabajo sobre riesgo cibernético y emitió hallazgos y recomendaciones.

Ese es un modelo de responsabilidad a nivel de la industria: cuando las dependencias son compartidas, la coordinación debe ser compartida.

La declaración del Comisionado de la CFTC del 8 de marzo enhttps://www.cftc.gov/PressRoom/SpeechesTestimony/johnsonstatement030823es útil porque colocó el incidente de ION en una discusión más amplia sobre resiliencia operativa, respuesta a incidentes importantes, protección de activos e información de los clientes, proveedores de servicios externos y la creación del grupo de trabajo de la FIA. También conectó la discusión con la Estrategia Nacional de Ciberseguridad, disponible enhttps://www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf, que enfatizó el reequilibrio de la responsabilidad y la realineación de incentivos.

La inferencia respaldada es que la concentración de proveedores necesita ejercicios coordinados antes de los incidentes. Un buen ejercicio incluiría al proveedor, los principales clientes, las cámaras de compensación, las bolsas, los reguladores, los organismos del sector y quizás los destinatarios críticos de datos. Probaría la notificación de incidentes, la priorización de clientes, la exportación de datos, el procesamiento manual, la presentación de informes regulatorios, los criterios de reconexión, la comunicación pública y la evidencia posterior a la acción.

Si la primera llamada de coordinación completa ocurre después del incidente, la industria ya está rezagada.

La coordinación de la industria también tiene que preservar los límites de responsabilidad. Un organismo del sector puede compartir información y coordinar llamadas, pero no puede reemplazar la obligación del proveedor de restaurar y evidenciar sus sistemas. Un regulador puede permitir las mejores estimaciones, pero no puede hacer que los registros de un miembro compensador sean completos. Un cliente puede crear soluciones manuales, pero no puede ver dentro del entorno forense del proveedor. Cada actor tiene un dominio de control diferente. Un buen registro posterior a la acción debería hacer explícitos esos dominios.

El caso de ION es valioso porque las fuentes públicas muestran las capas juntas: declaración de la empresa, declaraciones del regulador, coordinación de la industria, informe posterior a la acción y discusión de políticas. Muchos ciberincidentes dejan solo un aviso escaso de la empresa. Aquí, el público puede ver cómo un incidente de un proveedor externo se movió a través de las operaciones del mercado y la evidencia regulatoria.

La automatización de la seguridad debe incluir la reconstrucción de registros de operaciones e informes

El manifiesto incluye la automatización de la seguridad, y el incidente de ION muestra por qué la automatización no puede detenerse en la detección de endpoints. Para un proveedor de flujos de trabajo de derivados compensados, la automatización debería respaldar la contención, la reconstrucción limpia, las comprobaciones de integridad de datos, la comunicación con el cliente, la exportación de registros de operaciones, la reconstrucción de informes, la secuenciación de acumulaciones y la evidencia de reconexión. Si la recuperación depende completamente del descubrimiento manual de registros faltantes, el mercado paga por la brecha.

El informe de la FIA dice que algunas empresas necesitaron trabajo intensivo para recopilar y procesar los registros de operaciones faltantes. Esa frase es operativamente importante. Sugiere que los sistemas normales no proporcionaron un paquete de recuperación limpio e inmediatamente utilizable para cada empresa afectada. Eso puede ser comprensible durante un evento de ransomware, pero es exactamente lo que la ingeniería de resiliencia debería mejorar. La identificación de registros faltantes debería ser rápida, estructurada y auditable.

La inferencia respaldada es que los proveedores y los clientes deberían mantener vistas de datos recuperables de forma independiente para las obligaciones regulatorias y de compensación críticas. Eso no significa duplicar todos los sistemas de producción en cada entorno de cliente. Significa identificar los datos mínimos necesarios para reconstruir operaciones, posiciones, informes, asignaciones, cesiones, presentaciones de compensación y conciliaciones si el entorno del proveedor no está disponible. También significa probar si esas exportaciones pueden ser utilizadas por equipos de operaciones reales bajo presión de tiempo.

La guía de respuesta a incidentes de NIST y la guía de ransomware de CISA son útiles aquí porque enfatizan la preparación, comunicación, contención, erradicación, recuperación y lecciones aprendidas. Pero los proveedores de tecnología de mercados financieros necesitan superposiciones específicas del dominio. Una copia de seguridad genérica no es suficiente si no puede respaldar los informes regulatorios. Un ticket de incidente genérico no es suficiente si los clientes necesitan un linaje de datos a nivel de campo.

Un estado de restauración genérico no es suficiente si los miembros compensadores necesitan saber qué operaciones faltan y qué informes requieren revisión.

Quedan incógnitas sobre la arquitectura de ION y los controles de los clientes. El registro público no divulga el diseño de respaldo, el diseño de exportación de datos, la cobertura de registros, la segmentación, el acceso privilegiado, las reglas de detección, el método de reconstrucción ni la validación externa. El artículo no infiere esos detalles. Dice que el incidente demuestra el tipo de automatización y evidencia que debería existir para los proveedores críticos posteriores a la negociación.

Cómo sería una reparación responsable para un proveedor crítico del mercado

Las fuentes públicas no publican la hoja de ruta de remediación interna de ION, y este artículo no afirma conocerla. Aun así, el registro de la CFTC y la FIA identifica lo que una reparación responsable debería poder probar. El primer requisito es un mapa de servicios que sea útil en una emergencia. Debería mostrar qué flujos de trabajo de clientes dependen de cada servicio, qué informes dependen de cada conjunto de datos, qué bolsas y centros de compensación están conectados, qué clientes necesitan notificación inmediata y qué exportaciones de datos respaldan las operaciones degradadas.

Un catálogo de servicios genérico no es suficiente cuando los clientes necesitan saber qué registros de operaciones faltan.

El segundo requisito son datos de recuperación portátiles. Los clientes críticos no deberían tener que esperar una restauración completa del proveedor antes de poder identificar sus propias brechas de informes. Un proveedor puede proteger la seguridad y confidencialidad mientras diseña exportaciones de emergencia, informes de integridad y diccionarios de datos que permitan a los clientes reconstruir operaciones, posiciones, asignaciones, cesiones, presentaciones de compensación e informes regulatorios.

Esas exportaciones deberían probarse con usuarios reales, porque un archivo que solo los ingenieros pueden interpretar no respaldará una fecha límite de cumplimiento real.

El tercer requisito es un estándar de reconexión. La discusión sobre reconexión en el informe de la FIA muestra por qué esto es importante. Los clientes necesitan saber qué evidencia se proporcionará antes de que se restauren las interfaces: estado de contención, alcance del entorno afectado, evidencia de erradicación de malware, método de reconstrucción, comprobaciones de integridad, revisión de acceso privilegiado, estado de parches, estado de monitoreo, validación de terceros y problemas residuales conocidos. Si esos elementos se negocian durante un incidente, la recuperación se ralentiza y la confianza se vuelve desigual.

El cuarto requisito es un manual compartido de presentación de informes en modo degradado. Las instrucciones de la CFTC sobre mejores estimaciones e informes revisados fueron pragmáticas, pero las empresas no deberían tener que inventar los mecanismos durante un evento de ransomware. El manual debería definir etiquetas de estimación, propietarios de aprobación, desencadenantes de revisión, seguimiento de variaciones, comunicaciones con el regulador y retención de evidencia final. También debería identificar qué campos de datos son demasiado sensibles o inciertos para estimarlos sin coordinación explícita con el regulador.

El quinto requisito es el ejercicio de la industria. Un incidente de proveedor con múltiples clientes no puede probarse completamente dentro de una sola empresa. Los proveedores, miembros compensadores, bolsas, cámaras de compensación, reguladores y asociaciones del sector deberían ensayar la notificación, la exportación de datos, el procesamiento manual, el retraso en la presentación de informes, la comunicación pública y la reconexión. El objetivo no es publicar todos los controles sensibles.

El objetivo es hacer que la próxima respuesta sea menos improvisada y reducir la cantidad de evidencia crítica para el mercado atrapada dentro de un entorno deteriorado.

Hechos confirmados, inferencia respaldada e incógnitas

Los hechos públicos confirmados incluyen que ION Cleared Derivatives, una división de ION Markets, experimentó un evento de ciberseguridad que comenzó el 31 de enero de 2023 y afectó algunos servicios; que ION dijo que el incidente se contuvo en un entorno específico; que los servidores afectados se desconectaron; y que la remediación estaba en curso.

Los hechos públicos confirmados también incluyen que la FIA dijo que el evento afectó la negociación y compensación de derivados negociados en bolsa por parte de clientes de ION en los mercados globales y que la FIA coordinó la comunicación con los miembros afectados, empresas de compensación, bolsas, reguladores y otros.

Los hechos públicos confirmados incluyen que el personal de la CFTC dijo que el incidente afectó la capacidad de algunos miembros compensadores para proporcionar datos oportunos y precisos, retrasó los datos requeridos por los registrantes, retrasó el informe de Compromisos de los Comerciantes, requirió que las empresas afectadas usaran las mejores estimaciones para los informes diarios de grandes comerciantes y requirió informes revisados una vez que los sistemas estuvieran operativos.

Los hechos públicos confirmados incluyen la declaración del 10 de febrero de que los problemas de presentación de informes persistieron incluso después de que se hubiera mitigado el impacto, y la declaración del 16 de febrero que describe un informe pospuesto de CoT y un plan de recuperación secuencial planificado.

Los hechos públicos confirmados incluyen los hallazgos posteriores a la acción de la FIA de que un ataque de ransomware a un único proveedor externo utilizado por muchos corredores de compensación a nivel mundial provocó una interrupción significativa en el procesamiento de operaciones ejecutadas en múltiples bolsas, que el ataque mostró cómo una interrupción de un único proveedor de servicios puede dañar a una amplia gama de empresas y amenazar el funcionamiento ordenado, y que algunas empresas afectadas necesitaron hasta dos semanas de trabajo intensivo para recopilar y procesar los registros de operaciones faltantes y reconectar los

sistemas.

La inferencia respaldada incluye la opinión de que la concentración de proveedores externos, la continuidad de la presentación de informes, el cumplimiento en modo degradado, la portabilidad de datos, la evidencia de reconexión, el control de soluciones manuales, la carga de recuperación del lado del cliente y la coordinación de la industria son todas superficies de responsabilidad en este incidente.

La inferencia respaldada también incluye la opinión de que los proveedores críticos deberían proporcionar datos de recuperación probados y garantía de reconexión suficientemente sólida para que los clientes regulados cumplan con sus obligaciones bajo estrés.

Las incógnitas siguen siendo importantes. El registro público no divulga el vector de acceso inicial, la atribución definitiva del atacante de una fuente primaria, la demanda de rescate, el pago del rescate, el robo de datos, el número exacto de clientes afectados, todos los productos y bolsas afectados, las brechas de informes empresa por empresa, las pérdidas específicas de los clientes, el cronograma completo de restauración, los términos del contrato, los créditos de servicio, los resultados del seguro, los hallazgos forenses privados ni la correspondencia regulatoria final con ION o las empresas afectadas.

El artículo no llena esos vacíos con acusaciones.

La prueba de responsabilidad duradera

La prueba de responsabilidad duradera es si un mercado puede mantener intacta su cadena de evidencia cuando un proveedor crítico posterior a la negociación se ve interrumpido. La declaración pública de ION muestra el marco de contención del proveedor. Las declaraciones de la CFTC muestran la degradación de la presentación de informes gestionada por el regulador y la recuperación. Los materiales de la FIA muestran la coordinación de la industria, el riesgo de concentración, la carga de reconexión y la necesidad de asumir que los futuros ataques tendrán éxito.

Juntas, esas fuentes muestran un caso de responsabilidad de tecnología financiera en lugar de una interrupción estrecha de un proveedor.

Para los miembros compensadores, la lección es que la dependencia del proveedor debe ir acompañada de datos de recuperación independientes, procedimientos manuales probados y estimaciones y revisiones de informes planificadas previamente. Para los proveedores, la lección es que la contención es solo el primer deber; los clientes necesitan acceso a los registros de operaciones, secuenciación de recuperación, evidencia de reconexión y comunicaciones claras. Para los reguladores, la lección es que la presentación de informes en modo degradado debe diseñarse antes de un incidente de proveedor y debe incluir mecanismos de validación y revisión.

Para los organismos del sector, la lección es que las dependencias compartidas requieren ejercicios compartidos y canales de respuesta compartidos.

ION Cleared Derivatives convirtió el ransomware en una prueba de responsabilidad de continuidad de la compensación porque reveló cómo una interrupción de un proveedor externo puede moverse a través del procesamiento de operaciones hacia los datos regulatorios y la evidencia pública del mercado. El proveedor controlaba el entorno afectado y la remediación. Los clientes controlaban sus propias soluciones manuales y obligaciones de presentación de informes. Los reguladores controlaban las expectativas de presentación de informes y el momento de la publicación.

La responsabilidad requirió que los tres trabajaran juntos, con suficiente evidencia para probar no solo que los sistemas volvieron, sino que las operaciones, los informes, las reconexiones y los datos acumulados eran completos y confiables.