概況

このケースがリスクと説明責任ファイルに属する理由

ICBC Financial Services のインシデントは、ブローカー・ディーラーのサイバーレジリエンスが単なる内部技術問題ではないため、有用な説明責任テストである。ブローカー・ディーラーの記録は、顧客、規制当局、清算会社、清算エージェント、カウンターパーティー、監査人、リスクチームが何が起こったかを知るために使用する証明システムの一部である。ランサムウェアがシステムへのアクセスをブロックし、企業が清算会社や清算エージェントへの接続を終了せざるを得なくなると、公的な執行命令が下される前から、このインシデントは市場運営上のイベントとなる。

SEC 命令(https://www.sec.gov/files/litigation/admin/2024/34-101794.pdf)は、2023年11月に ICBC Financial Services がランサムウェアサイバー攻撃の被害者であったと述べている。同命令は、攻撃により同社の各種システムにおける帳簿記録情報へのアクセスと更新が妨げられ、清算会社や清算エージェントへの接続を終了せざるを得なくなったと述べている。また、2023年11月8日から2024年3月1日までの間、同社は帳簿記録を最新に保つこと、および証券関連取引に関する書面による確認を顧客に送付することを怠ったと述べている。これらは SEC の和解記録で確認された公的所見である。

このことが重要なのは、米国債市場は深く流動的で基礎的なものとして扱われているが、その市場は日常的な運用的証拠に依存しているからである。取引、レポ取引、清算提出、ブロッター、元帳、株式記録、準備金計算、正味資本計算、書面確認は管理上の装飾ではない。それらは、企業がポジションを把握し、顧客が取引条件を知り、規制当局がコンプライアンスをテストし、カウンターパーティーが運用リスクが封じ込められているかどうかを判断するための監査証跡である。

公開市場のストーリーはほぼ即座に明らかになった。ロイターはhttps://www.reuters.com/business/finance/ransomware-attack-chinas-icbc-disrupts-us-treasury-market-trades-2023-11-09/で、中国工商銀行の米国部門へのランサムウェア攻撃が米国債市場の取引を混乱させたと報じた。ロイターはその後、https://www.reuters.com/technology/cybersecurity/icbc-ransomware-attack-triggers-global-regulator-trader-scrutiny-2023-11-10/で、このインシデントが規制当局やトレーダーの監視を集めたと報じた。これらの報道は有用な年表だが、SEC 命令は後に、より耐久性のある説明責任記録を提供した。インシデントは取引を妨げ、記録に影響を与え、特定の帳簿記録および確認義務が一定期間満たされないままとなった。

したがって、説明責任の問題は運用上の恥ずかしさよりも広い。ランサムウェアイベントはネットワークの観点からは封じ込められても、ビジネスが要求された形式で取引を証明できないままになる可能性がある。市場全体としては存続可能であっても、企業レベルでは準備の弱さを露呈する可能性がある。後日是正されても、手動の回避策、オフラインのスプレッドシート、代替の清算手配、インシデント後の調整が通常の管理された運用と同等ではないことを示すことができる。

確認された公開記録は暗号化、接続終了、記録の欠落から始まる

SEC 命令は簡潔で確認されたタイムラインを示している。同命令によると、2023年11月8日、ICBC Financial Services は、悪意のあるソフトウェアがネットワーク内のデータとプログラムを暗号化することで、コンピュータシステムとデータへのアクセスをブロックしたことを発見した。インシデントは業務に重大な影響を与えた。即座に2つの運用上の影響が確認された。各種システムにおける帳簿記録情報へのアクセスと更新の妨害、および清算会社と清算エージェントへの接続の終了であり、これにより取引が妨げられた。

この記述が重要なのは、ランサムウェアをそのビジネス上の結果によって特定しているからである。公開記録は、説明責任の表面を特定するためにすべての内部ホストやフォレンジックの証拠を知る必要はない。同社は必要な記録にアクセスして更新することができなかった。清算パートナーへの接続を切断せざるを得なかった。業務を縮小せざるを得なかった。SEC 命令によると、資金調達、清算パートナーとの協力、代替清算会社の顧客支援、封じ込めと是正のための第三者サイバーセキュリティ専門家の迅速な雇用を行った。

命令はまた、影響を受けた記録のカテゴリーを挙げている。ICBC Financial Services の債券およびレポシステム(命令では TSS と記載)は、最新の状態に更新されなかった。同社はシステムを手動で更新し、特定の債券取引を捕捉するためのオフラインスプレッドシートを作成したが、一定期間、さまざまな帳簿記録情報が不完全または不正確であった。命令は、債券ブロッター、元帳、元帳勘定、証券記録、ブローカー注文の覚書、証券の購入または販売の覚書、証券の購入および販売の確認を列挙している。

株式システムも影響を受けた。SEC 命令によると、統合株式記録を維持する株式システムは、さまざまな株式取引を反映するために最新の状態に更新されなかった。同社は株式システムへのアクセスを回復し、欠落した取引を再作成する必要があった。一定期間、ブロッター、元帳、元帳勘定、証券記録、ブローカー注文の覚書、証券の購入または販売の覚書、証券の購入および販売の確認が不完全または不正確であった。

命令はその後、記録を資本および顧客準備金管理に結び付けている。TSS および株式システムの不正確な帳簿記録は、ブローカー・ディーラーの顧客および PAB 準備金計算に影響を与えたと述べている。同社は正確で完全な元帳および元帳勘定情報を生成できず、株式システムにアクセスできなかったため、一定期間、顧客および PAB 準備金計算を推定値と不完全な記録を使用して作成した。また、総勘定元帳および試算表システムへのアクセスを失い、正味資本計算は一定期間、利用可能な不完全な記録に基づいていたため不正確であった。

この連鎖は、サイバーインシデントを規制上の証拠問題に変える。取引が迂回されたとか、システムが最終的に復旧したと言うだけでは十分ではない。説明責任の問いは、企業が Rule 17a-3、Rule 10b-10、顧客保護準備金ロジック、正味資本規律を満たすのに十分な精度で記録を再構築できるかどうかである。SEC 記録では、企業は関連要件に違反したが、委員会は協力と是正措置を考慮して、民事罰なしの戒告および差止命令を選択した。

国債清算の継続性は退屈な証拠に依存する

米国債市場のレジリエンスは、流動性、ディーラーのバランスシート、ヘッジファンドのレバレッジ、中央清算、市場のボラティリティに関する議論のように聞こえることが多い。これらは実際の問題である。しかし、ICBC Financial Services のインシデントは、運用的証拠も同様に重要であることを示している。企業が何が起こったかを証明するために必要なブロッター、元帳、証券記録、注文覚書、購入または販売覚書、確認記録、準備金計算、正味資本サポートを最新に保つことができなければ、財務省証券やレポ取引は完全に管理されているとは見なせない。

SEC の国債清算ルールページ(https://www.sec.gov/rules-regulations/2025/02/s7-23-22)は、委員会が米国財務省証券の対象清算機関に関する基準と、投資家保護、リスク低減、運用効率向上を目的とした関連修正を採択したことを説明している。SIFMA の業界ガイド(https://www.sifma.org/resources/guides-playbooks/us-treasury-central-clearing-industry-considerations-report)は、中央清算の実施を主要な構造変更として説明している。これらの情報源は ICBC Financial Services に関する所見ではない。清算接続、証拠金、参加者の準備、運用的レジリエンスが国債市場改革の中心にある理由を説明している。

支持される推論は、国債清算の継続性は清算機関レベルだけでなく参加者レベルでもテストされる必要があるということである。対象清算機関は強力なルールを持つことができ、清算参加者は依然として切断を余儀なくされるサイバーイベントに直面する可能性がある。企業は代替清算サポートを持つことができ、それでもイベントは記録の欠落を生み出す可能性がある。市場は機能し続けることができ、影響を受けた企業の顧客は依然として確認と正確な記録を必要とする。したがって、レジリエンスは単一の会場ではなく、チェーンである。

財務省の声明(https://home.treasury.gov/news/press-releases/jy1922)は、ICBC 関連会社のランサムウェアインシデントが顧客清算事業に影響を与えたと説明した。後の声明(https://home.treasury.gov/news/press-releases/jy2029)は、ION と ICBC の両方を金融セクター業務を混乱させたランサムウェアの最近の例として引用し、金融機関および規制機関に対する財務省の調整役割に言及した。これらの声明の重要性は、財務省がケース固有の法的所見を述べたからではない。公式の公開議論が ICBC Financial Services を金融市場業務に影響を与えるランサムウェアインシデントのより広範なパターンに位置づけたことである。

フィッチのノート(https://www.fitchratings.com/research/banks/cyberattack-at-us-subsidiary-of-icbc-highlights-payment-interruption-risks-16-11-2023)は、インシデントを支払い中断および運用リスク警告として位置づけたため、有用なコンテキストである。DTCC の議論(https://www.dtcc.com/industry-connection/2024/june/12/assessing-the-latest-systemic-risk-assessment)も、ランサムウェアリスクをシステムリスク評価内に位置づけるため有用である。これらの情報源は市場コンテキストとして読むべきであり、SEC 命令の代わりではない。

実践的な教訓は、継続計画に記録層を含める必要があるということである。企業が清算会社や清算エージェントへの接続を終了しなければならない場合、保留中の取引、調整、代替清算指示、顧客確認、準備金計算、資金調達、規制当局への連絡のための管理された経路が必要である。オフラインのスプレッドシートを使用する場合、それらのスプレッドシートは管理され、調整され、証拠をもってシステムに戻される必要がある。業務を縮小する場合、企業はどの取引を引き続き実行するか、どのように確認を生成するかを把握していなければならない。

帳簿記録は説明責任の表面であり、技術的な後付けではない

SEC 命令は、攻撃者が記録へのアクセスを困難にしたからといって、帳簿記録義務が停止されるわけではないことを思い出させる。証券取引法 Rule 17a-3(a)(https://www.ecfr.gov/current/title-17/chapter-II/part-240/section-240.17a-3で入手可能)は、ブローカー・ディーラーに指定された記録を作成し最新に保つことを要求している。証券取引法 Rule 10b-10(a)(https://www.ecfr.gov/current/title-17/chapter-II/part-240/section-240.10b-10で入手可能)は、ブローカー・ディーラーに対象証券取引の完了時またはその前に取引情報の書面による通知を顧客に提供することを要求している。SEC 命令はこれらの義務をインシデントの事実に適用した。

したがって、このケースは「サイバーセキュリティが弱かった」という一般的な話ではない。運用的ストレス下での規制された証拠に関する話である。企業はランサムウェアイベント中に最善の意図を持っていても、フォールバックプロセスが最新かつ正確な記録を生成できない場合、失敗する可能性がある。手動による再構築は自動的に間違っているわけではない。多くのインシデントでは必要である。しかし、手動による再構築は、必要な記録を最新に保ち、確認を生成し、準備金計算をサポートし、隠れた不一致を避けるために十分に管理されていなければならない。

債券およびレポシステムの詳細が重要なのは、国債およびレポ業務が記録集約的だからである。債券ブロッターや元帳は単なるバックオフィスの遺物ではない。ポジション、決済、資金調達、顧客、規制上の見解の源泉である。レポ取引は担保、現金、満期、金利、カウンターパーティー、証拠金処理をリンクする。記録環境が不完全な場合、リスクは誰かが取引を検索できないことだけではない。誤った元帳ビューが準備金計算、正味資本、顧客明細書、調整、経営判断に伝播するリスクである。

株式システムの詳細も同じ理由で重要である。SEC 命令は、株式システムが統合株式記録を維持しており、欠落した取引が再作成される間、再びアクセスする必要があったと述べている。つまり、単一のサイバーイベントが製品システムと記録システムにまたがった。説明責任のテストは、システムが利用できず、どの活動を安全に継続できるかを決定している間、企業が十分に完全な運用状況を維持できたかどうかである。

顧客確認は別の説明責任層である。SEC 命令は、ICBC Financial Services がインシデント後にさまざまな顧客取引を実行したが、一定期間、各取引の完了時またはその前に取引確認を送付しなかったと述べている。これは、確認が顧客に基本的な取引証拠(身元、価格、数量、代理店またはプリンシパルの能力、日付、時間、その他の必要な情報)を提供するため重要である。顧客は完全な証券取引の条件を知るためにサイバー回復を待つべきではない。

支持される推論は、ブローカー・ディーラーのインシデント対応は確認を下流の事務作業ではなく重要なサービスとして扱わなければならないということである。通常の確認システムが利用できない場合、コンティンジェンシープロセスは、どの取引を進めてよいか、どのように書面通知を生成するか、誰が承認するか、どのように記録するか、後でシステム記録が発行された通知とどのように調整されるかを特定する必要がある。公開命令は、この管理が一定期間失敗したことを示している。内部原因のすべてを示しているわけではないので、本稿は所見を超えて推測しない。

協力と是正は執行結果を変えたが、教訓は変わらない

SEC の行政ページは、ICBC Financial Services が迅速に是正措置を講じ、スタッフの検査および調査に協力したため、委員会が民事罰を課さないことを決定したと述べている。命令は、同社が検査部門のスタッフに協力し、迅速に接続を終了し、業務を縮小し、資金を確保し、清算パートナーと協力し、顧客が代替清算会社を見つけるのを支援し、封じ込めと是正のために第三者サイバーセキュリティ専門家を迅速に雇用したと述べている。

これらの事実は重要である。説明責任の分析は協力を無視すべきではない。安全でない接続を終了し、清算パートナーと協力し、代替清算会社の顧客を支援し、専門家を関与させる企業は、被害を軽減できることを行っている。SEC 和解記録における民事罰の不存在は、公開された説明責任の結果の一部である。これは、規制当局が違反を認定しながらも協力と是正を認識したことを示している。

しかし、協力は運用上の教訓を消し去るものではない。同じ命令は、違反は部分的には、回答者が潜在的に深刻なサイバーセキュリティインシデントに備える必要があったことを示していると述べている。同社はその後インシデントを調査し、ガバナンス、サイバーセキュリティリソース、リスク評価および軽減プロセスを強化する必要があると判断したと述べている。これは準備に責任を置く重要な一文であり、対応だけではない。企業は不運な外部イベントに直面しただけでなく、公開記録は準備が不十分だったと述べている。

支持される推論は、是正は命令の障害モードに対して測定されるべきであるということである。ガバナンスの是正は、サイバーインシデントをセキュリティチームの問題だけでなく、取締役会および上級管理職の運営レジリエンス問題にする必要がある。サイバーセキュリティリソースの是正は、検出、封じ込め、バックアップ、エンドポイント、セグメンテーション、特権アクセス、復旧能力を改善する必要がある。リスク評価の是正は、製品システム、清算接続、顧客確認、準備金計算、正味資本サポート、手動回避策の準備、代替清算手順を調査する必要がある。

未知の部分は多い。公開記録は、同社の正確なガバナンス変更、新しい管理責任者、机上訓練の結果、バックアップアーキテクチャ、セグメンテーション設計、エンドポイントツール、システム別の復旧タイミング、第三者専門家の所見、独立した検証、長期監査結果を開示していない。本稿は特定の是正管理が存在すると主張しない。SEC 命令が強化すべきカテゴリーを特定していると述べる。

攻撃の属性と身代金の主張は説明責任の証拠と同じではない

インシデントをめぐる公開報道には、ランサムウェアアクター、身代金要求、可能な技術的ベクターに関する議論が含まれていた。ロイターは公開された主張と市場の反応を報じた。SCMP の報道(https://www.scmp.com/news/world/united-states-canada/article/3240990/ransomware-attack-industrial-and-commercial-bank-china-disrupts-us-treasury-market-trades)は公開年表と世界市場のコンテキストを追加した。一部のセキュリティ解説はインシデントをロックビットや Citrix 関連の懸念に結びつけた。これらの資料は状況認識に役立つかもしれないが、本稿の中核的な説明責任の証明ではない。

慎重である理由は単純である。脅威アクターは嘘をつく可能性がある。身代金支払いの主張は検証不可能な場合がある。初期アクセスの推測は間違っているか不完全な場合がある。露出したインフラに関するセキュリティ研究者の観察はフォレンジックの結論と同じではない。取引失敗に関する市場の噂は規制当局の所見と同じではない。公開説明責任の分析は、ケースが注目を集める銀行と注目を集める市場に関わるからといって、主張を事実に仕立て上げるべきではない。

確認された公開事実で十分である。SEC 命令はランサムウェアによる暗号化、業務への影響、清算会社および清算エージェントへの接続終了、取引の妨害、不完全または不正確な帳簿記録、顧客確認の失敗、準備金計算への影響、正味資本計算への影響、協力、是正措置を確認している。財務省の声明は、米国当局者がこのインシデントを金融セクター業務と顧客清算事業に影響を与えるランサムウェアの例として扱ったことを確認している。ロイターは公開市場の混乱報道と規制当局の注目を確認している。説明責任のケースを確立するためにこれ以上は必要ない。

CISA のランサムウェアリソース(https://www.cisa.gov/stopransomwareおよびhttps://www.cisa.gov/stopransomware/ransomware-guide)は、一般的な対応とレジリエンスのコンテキストを提供する。NIST のサイバーセキュリティフレームワーク(https://www.nist.gov/cyberframework)および NIST SP 800-61 Rev. 3(https://csrc.nist.gov/pubs/sp/800/61/r3/final)は、識別、保護、検出、対応、復旧、コミュニケーション、改善のための語彙を提供する。これらの情報源は ICBC Financial Services に関する私的証拠ではない。準備されたインシデントライフサイクルが何を示すべきかを説明している。

したがって、正しい公開姿勢は規律正しいものである。インシデントは SEC 命令がそう述べているのでランサムウェアとして説明できる。財務省がそう述べたので顧客清算事業に影響を与えたとして説明できる。ロイターがその公開市場コンテキストを報じたので米国債市場の取引を混乱させたとして説明できる。しかし、本稿は SEC の和解所見を超えて、特定のエクスプロイト経路、身代金支払い、データ流出、顧客の損失、または意図的な不正行為を主張しない。

手動回避策は必要だが、記録のシステムになると危険である

SEC 命令は、ICBC Financial Services がシステムを手動で更新し、特定の債券取引を捕捉するためのオフラインスプレッドシートを作成したと述べている。緊急時には、これは避けられない可能性がある。リスクは、スプレッドシートが、規制されたブローカー・ディーラー環境で通常期待される管理(アクセス制御、バージョン管理、承認ワークフロー、調整、例外処理、独立したレビュー、保存、監査可能性)なしに、並行した記録のシステムになる可能性があることである。

手動回避策は、債券およびレポでは特に重要である。フィールドが重要だからである。価格、数量、元本額、決済日、カウンターパーティー、担保、金利、満期、ブック、勘定、清算ルートは下流の記録に影響を与える可能性がある。単一のフィールドの欠落が元帳の不一致になる可能性がある。遅延した確認が顧客の証拠問題になる可能性がある。不完全な元帳が準備金または正味資本の推定値になる可能性がある。これらは抽象的な懸念ではない。SEC 命令は不完全な記録を顧客および PAB 準備金計算および正味資本計算に結び付けている。

支持される推論は、ブローカー・ディーラーのためのサイバー継続計画には、事前に承認された低下モードのプロセスを含める必要があるということである。これらのプロセスは、どの取引タイプを進めることができるか、どの取引タイプが停止を必要とするか、取引証拠がどのように捕捉されるか、確認がどのように生成されるか、清算エージェントにどのように連絡するか、代替清算会社がどのように調整されるか、資金がどのように確保されるか、準備金と正味資本がどのように推定され後で修正されるか、規制当局にギャップがどのように通知されるかを指定する必要がある。プロセスはインシデント前にリハーサルされるべきである。暗号化の圧力下で設計することは、まさにエラーが発生しやすい時だからである。

「最新の」記録に関する説明責任の問題もある。企業は後で記録を再構築できるかもしれない。しかし、Rule 17a-3 は最新の記録を作成し維持することに関するものであり、顧客は取引が完了する時点で取引証拠を必要とする。インシデント後の再構築は残留被害を減らすことができるが、最新の記録とタイムリーな確認を完全に代替することはできない。それが、ICBC Financial Services が協力し是正したにもかかわらず、SEC 命令が重要である理由である。

本稿は、同社のオフラインスプレッドシートが不注意、悪意、または独特に不十分であったと主張しない。SEC 命令はそのレベルの詳細を提供していない。ポイントはより狭い。規制された取引を捕捉するために手動スプレッドシートが必要な場合、それは重要な管理対象として扱われるべきである。迅速に調整され厳格に管理されなければ、企業はブローカー・ディーラーの義務をテスト可能にする証拠連鎖を失う可能性がある。

インシデントは、第三者および清算依存関係マップが運用可能でなければならない理由を示している

このケースは一企業の自社システムだけに関するものではない。SEC 命令は、ICBC Financial Services が清算会社および清算エージェントへの接続を終了したと述べている。清算パートナーと協力し、顧客が代替清算会社を見つけるのを支援した。この文言は、動作中の依存関係マップを示している。同社は切断を余儀なくされた清算関係、調整が必要なパートナー、代替ルートを必要とする顧客を持っていた。

第三者および清算依存関係マップは監査のために存在することが多いが、このケースはそれらが運用ツールでなければならないことを示している。有用なマップは、清算エージェント、清算会社、決済銀行、資金源、市場ユーティリティ、データフィード、確認プロバイダー、メッセージングチャネル、顧客グループ、エスカレーション連絡先を特定する必要がある。また、企業自体が障害ノードになった場合に何が起こるかを特定する必要がある。多くの第三者リスクプログラムはベンダーの障害に焦点を当てているが、このインシデントでは企業が自社のパートナーおよび顧客にとってリスク源となった。

連邦銀行機関の第三者リスク管理ガイダンス(https://www.federalreserve.gov/supervisionreg/srletters/SR2304a1.pdf)は ICBC Financial Services に固有の情報源ではないが、ライフサイクルリスク管理、コンティンジェンシープランニング、重要な活動をサポートする関係の有用なコンテキストを提供する。財務省のクラウドおよび金融セクターサイバーセキュリティに関する声明(https://home.treasury.gov/news/press-releases/jy2029)は、透明性、集中、運用的レジリエンスについても議論している。この原則は清算関係に翻訳される。レジリエンスは、どの依存関係が重要であり、一つが失敗したときにどのようにコミュニケーションするかを知ることに依存する。

支持される推論は、代替清算サポートは事前に計画されるべきであるということである。SEC 命令は、同社が顧客が代替清算会社を見つけるのを支援したと述べている。これは重要な是正行為である。より強力なインシデント前の姿勢は、顧客がどのようにトリアージされるか、どのような法的および運用的文書が必要か、どのポジションと取引を移管または迂回できるか、どの指示が安全に送信できるか、どの顧客承認が必要か、企業が混乱や二重処理をどのように防ぐかを定義する。

未知の部分は残る。公開記録は、何人の顧客が代替清算会社を必要としたか、代替手段がどのくらい迅速に確立されたか、影響を受けた保留取引の数、取引が失敗したかどうか、顧客が直接損失を被ったかどうか、清算パートナーが運用コストを吸収しなければならなかったかどうかを開示していない。本稿はそれらの結果を主張しない。完全な説明責任レビューが含むべき依存関係の証拠を特定する。

規制上の説明責任は、サイバー管理を市場管理に結び付けるときに強化される

SEC 命令は、サイバー混乱をブローカー・ディーラーの義務に結び付けているため効果的である。単に企業がランサムウェアを経験したと言っているのではない。どの義務が失敗したかを特定している。セクション17(a)および Rule 17a-3(a)に基づく帳簿記録、Rule 10b-10(a)に基づく顧客確認である。また、準備金計算および正味資本への影響についても説明している。このつながりが重要なのは、規制された金融企業におけるサイバーインシデントは、規制された機能が管理された形で継続したかどうかによって判断されるべきだからである。

SEC のサイバーセキュリティトピックページ(https://www.sec.gov/securities-topics/cybersecurity)は、サイバーセキュリティが証券市場とどのように交差するかについての広範なコンテキストを提供する。国債清算ルールページは市場構造のコンテキストを提供する。FSOC の2024年年次報告書(https://home.treasury.gov/system/files/261/FSOC2024AnnualReport.pdf)は、金融市場構造、運用リスク、技術リスク、国債市場の重要性について議論している。これらの情報源は総合的に、サイバーレジリエンス、市場構造、清算、運用リスクがもはや別々の会話ではないことを示している。

支持される推論は、サイバーテストには規制アウトプットテストを含めるべきであるということである。システムが復旧できるかどうかのみを問う机上訓練は不完全である。ブローカー・ディーラーの場合、訓練はストレス下でブロッター、元帳、証券記録、確認、準備金計算、正味資本計算、顧客通知、清算エージェントメッセージ、代替清算指示、規制当局報告書を生成できるかどうかを問うべきである。それらの成果物を生成できない場合、企業は技術的には復旧していても法的には失敗している可能性がある。

規制当局の証拠はタイムリーでなければならない。SEC 命令は2023年11月8日から2024年3月1日までの関連期間をカバーしている。これは記録管理の問題が公的執行期間内に残る長期間である。すべてのシステムが全期間にわたって等しく利用できなかったことを意味するわけではなく、命令もそう述べていない。説明責任の問題が最初のインシデント週を超えて拡大したことを意味する。したがって、復旧はシステムがオンラインに戻った最初の日ではなく、義務固有の証拠の回復によって測定されるべきである。

ここで、運用チームと法務チームが協力しなければならない。セキュリティチームは封じ込めが成功したと言うかもしれない。テクノロジーチームはアプリケーションが復旧したと言うかもしれない。ビジネスチームは取引が再開したと言うかもしれない。法務およびコンプライアンスチームは、必要な記録が最新であるか、確認がタイムリーであるか、準備金計算が正確であるか、規制上のコミットメントが文書化されているかを依然として問わなければならない。説明責任は、これらの見解が一致したときに存在し、一つのチームが成功を宣言したときではない。

SEC 命令後の説明責任のある修復はどのように見えるか

SEC 命令は、企業の内部是正ロードマップを公開していないが、説明責任のある修復プログラムがカバーすべきカテゴリーを特定している。最初のカテゴリーはガバナンスである。国債清算に関わるブローカー・ディーラーは、深刻なサイバーシナリオが情報セキュリティシナリオとしてだけでなく、事業継続、顧客保護、市場リスクシナリオとしてレビューされることを示せるべきである。つまり、上級リーダーは、重要な環境が暗号化された場合に債券記録、株式記録、顧客確認、準備金計算、正味資本計算、清算接続、資金調達、顧客コミュニケーションに何が起こるかを示すシナリオマップを受け取るべきである。

2番目のカテゴリーは証拠の所有権である。各要求された記録には、緊急時の所有者、バックアップソース、低下モードプロセス、調整ルール、規制当局通知のしきい値が必要である。債券ブロッターには一人の所有者、統合株式記録には別の所有者、顧客確認には別の所有者がいるかもしれない。通常業務では、これらの記録は共有システムを通じて自動的に移動する可能性があるが、ランサムウェアインシデントはそれらを分断する可能性がある。説明責任のある修復には、各記録を再構築し、再構築された記録が取引の現実と一致することを証明する責任者または機能を指名することが必要である。

3番目のカテゴリーは手動手順の管理である。SEC 命令のオフラインスプレッドシートへの言及は、企業に緊急スプレッドシートが事前設計され、アクセス制御され、バージョン管理され、独立してレビューされ、ソースシステムに調整して戻されるかどうかを問うよう促すべきである。問題はスプレッドシートが禁止されていることではない。緊急時には、スプレッドシートが取引証拠を保存する最も速い方法かもしれない。問題は、規制された取引に使用されるスプレッドシートが即席のブラックボックスになるべきではないということである。次のインシデントの前に、テンプレート、フィールド定義、承認手順、保存ルール、調整証拠が必要である。

4番目のカテゴリーは清算と顧客コミュニケーションである。清算会社や清算エージェントへの接続を終了しなければならない場合、企業は顧客にどの活動が停止されるか、どの代替ルートが存在するか、保留中の取引がどのように処理されるか、確認がどのように見えるか、記録がいつ調整されるかを知らせる方法を知っているべきである。曖昧なコミュニケーションは重複指示、安全でない回避策、不必要な市場の噂を生み出す可能性がある。正確なコミュニケーションは運用負荷を軽減し、後の証拠レビューを容易にする。

5番目のカテゴリーは独立した検証である。企業は是正が完了したと信じていても、確認、準備金、正味資本サポートにギャップが残る可能性がある。説明責任のある修復プログラムは、内部監査、コンプライアンステスト、外部専門家、または同等の独立機能を使用して、復元されたプロセスが別の深刻なシナリオに耐えられるかどうかをテストする。公開記録は ICBC Financial Services がこれらの正確な管理を採用したかどうかを示していない。ポイントは、SEC 命令が真剣な市場参加者が生成すべき修復証拠を定義するのに十分な詳細を提供していることである。

確認された事実、支持される推論、未知の部分

確認された公的事実には、ICBC Financial Services がデラウェア LLC であり、主たる事業所をニューヨークに置き、中国工商銀行有限公司の完全子会社であり、ブローカー・ディーラーとして SEC に登録されていることが含まれる。確認された事実には、2023年11月にランサムウェアサイバー攻撃の被害者となり、悪意のあるソフトウェアがデータとプログラムを暗号化することでシステムとデータへのアクセスをブロックし、インシデントが業務に重大な影響を与えたことも含まれる。

確認された公的事実には、インシデントが各種システムにおける帳簿記録情報へのアクセスと更新を妨害し、清算会社および清算エージェントへの接続の終了を引き起こし、取引を妨げたことが含まれる。確認された事実には、関連期間中、同社の帳簿記録が最新に保たれておらず、債券およびレポ記録、株式記録、準備金計算、正味資本サポートを含む情報が不完全または不正確であったことが含まれる。

確認された公的事実には、同社がインシデント後にさまざまな顧客取引を実行したが、一定期間、各取引の完了時またはその前に取引確認を送付しなかったことが含まれる。確認された事実には、SEC によるセクション17(a)および Rule 17a-3(a)ならびに Rule 10b-10(a)の意図的違反の認定、同社が所見を認めず否定せずに和解したこと、差止命令、戒告、SEC が協力と是正行為を考慮したため民事罰なしが含まれる。

支持される推論には、国債清算の継続性、ブローカー・ディーラーの記録保持、確認提供、準備金および正味資本計算、代替清算サポート、清算エージェントコミュニケーション、手動回避策のガバナンスがすべてこのインシデントの説明責任の表面であるという見解が含まれる。支持される推論には、ブローカー・ディーラーにおけるサイバーレジリエンスはサーバー復旧だけでなく規制上の成果物に対してテストされるべきであるという見解も含まれる。

未知の部分は重要であり続ける。公開記録は、正確な初期アクセスベクター、正確な攻撃者、身代金要求、身代金支払い状況、データが流出したかどうか、影響を受けた顧客または取引の全数、完全なシステム復旧タイムライン、すべての清算パートナーへの影響、すべての顧客の代替清算結果、すべての資金調達取り決め、すべての第三者専門家の所見、すべての是正マイルストーン、または私的な監督上のやり取りを開示していない。本稿はそれらのギャップを非難で埋めない。

耐久性のある説明責任テスト

耐久性のある説明責任テストは、規制されたブローカー・ディーラーがランサムウェアに対応しながら市場義務を証明し続けることができるかどうかである。ICBC Financial Services の公開記録は、ランサムウェアがサイバー封じ込めを清算、記録、確認、準備金、資本、顧客証拠の問題に変える可能性があることを示している。また、SEC が民事罰を課さなかったため、協力と是正が重要であることも示している。しかし、根底にある教訓はより厳しい。深刻なサイバーインシデントは想定されるべきであり、規制された証拠を最新に保つか、厳格に管理された低下モード手順を通じて復旧するのに十分な準備がなされるべきである。

顧客にとっての教訓は、確認と記録が保護の一部であるということである。法律がタイムリーな通知と最新の記録を要求する場合、顧客は企業が後で取引を再構築すると信頼すべきではない。清算パートナーにとっての教訓は、切断と代替ルーティング計画をリハーサルする必要があるということである。規制当局にとっての教訓は、サイバー検査が記録保持、準備金、正味資本、確認義務が運用ストレス下で存続するかどうかをテストすべきであるということである。市場構造改革者にとっての教訓は、中央清算のレジリエンスはインフラ設計と同様に参加者のレジリエンスに依存するということである。

ICBC Financial Services は、インシデントが重要な市場の証明層に触れたため、ランサムウェアを国債清算の説明責任テストにした。同社は自社のシステム、記録、接続、コンティンジェンシープランを管理していた。顧客とカウンターパーティーは何が起こり、どのような義務が残っているかを知るためにそれらのシステムに依存していた。説明責任には、コンピュータの復旧以上のものが求められた。顧客、パートナー、規制当局が信頼できる十分な証拠をもって、取引、記録、確認、準備金、資本、清算決定、是正を証明することが求められた。