摘要
- ION Cleared Derivatives 属于风险与问责档案,因为一家第三方供应商的网络事件破坏了市场参与者跨辖区依赖的清算衍生品订单管理、执行、交易和交易处理服务。
- 核心问题是,当供应商故障并未危及受监管市场本身,但阻止了清算会员和报告公司及时提交准确数据,迫使采取手动权宜措施,并延迟了公开市场报告时,谁应承担问责。
- ION 的声明位于https://iongroup.com/press-release/markets/cleared-derivatives-cyber-event/,是 2023 年 1 月 31 日网络事件、受影响服务、隔离至特定环境、断开服务器以及持续修复的主要公司来源。
- CFTC 的声明位于https://www.cftc.gov/PressRoom/SpeechesTestimony/cftcstatement020223、https://www.cftc.gov/PressRoom/PressReleases/8655-23和https://www.cftc.gov/PressRoom/PressReleases/8662-23,是延迟数据提交、交易商持仓报告推迟、最佳估计报告、修订报告预期以及计划追赶时间表的主要监管来源。
- FIA 的材料位于https://www.fia.org/fia/articles/fia-comments-ion-group-cyber-incident和https://www.fia.org/sites/default/files/2023-09/FIA_Taskforce%20on%20Cyber%20Risk_Recommendations_SEPT2023_Final2.pdf,用于行业协调、事后调查结果、重连问题以及第三方网络韧性教训。本文不断言任何非公开的初始访问向量、赎金支付、数据窃取、客户损失或超出公开证据的责任分配。
为什么此案例属于风险与问责档案
ION Cleared Derivatives 属于风险与问责档案,因为它展示了一个单一技术提供商如何在一个建立在分布式义务之上的市场中成为连续性瓶颈。清算会员、经纪商、交易所、终端用户、监管机构和交易处理平台并不都同属一家公司。然而,一家供应商的中断可能阻止许多公司处理交易、完成报告、验证数据以及安全地重新连接到市场其他部分。
ION 的公开声明位于https://iongroup.com/press-release/markets/cleared-derivatives-cyber-event/指出,ION Markets 旗下部门 ION Cleared Derivatives 于 2023 年 1 月 31 日开始经历了一起网络安全事件,影响了其部分服务。声明称,事件被控制在特定环境内,所有受影响的服务器已断开连接,服务修复正在进行中。该声明虽简短,但却是关于事件存在、日期、控制范围、断开决策和修复姿态的主要公司源头。
CFTC 的声明位于https://www.cftc.gov/PressRoom/SpeechesTestimony/cftcstatement020223给出了两天后的公开监管视角。声明称,CFTC 工作人员与其他监管机构、市场参与者和受影响方合作,以了解该网络事件并帮助确保 CFTC 监管的衍生品市场未受损害。声明称,该问题影响了部分清算会员及时向 CFTC 提供准确数据的能力。声明还称,每周的交易商持仓报告将推迟至所有交易可以报告为止,受影响的公司在每日大型交易商报告中应使用最佳估计,并在系统恢复运行后提交修订报告。
这就是问责框架。该事件不必摧毁清算所或暂停整个市场才显得重要。它影响了证据管道。监管机构需要及时准确的数据。公开市场用户期待交易商持仓报告。清算会员负有法律和运营报告义务。如果供应商故障阻止了这些产出,问责问题就变成企业、供应商、监管机构和行业组织如何协调降级模式报告,而不会使估计和手动工作变成永久的盲点。
该案例也很重要,因为公开的事后记录异常明确。FIA 2023 年 9 月的报告称,此次中断是由针对全球众多清算经纪商所使用的单一第三方服务提供商的勒索软件攻击引发的。它表明,单一服务提供商的中断可能对广泛的企业产生破坏性影响,并威胁有序的市场运行。它还称,一些受影响的公司需要长达两周的紧张工作来收集和处理缺失的交易记录,并将系统重新连接到市场其他部分。这是对集中度和恢复负担的明确陈述。
已确认的公开时间线从控制到报告延迟再到追赶
已确认的公开时间线始于 2023 年 1 月 31 日,即 ION 声明中的日期。该公司称部分服务受到影响,事件被控制在特定环境内,受影响的服务器已断开连接,修复正在进行中。公开声明未指明攻击者、初始访问向量、数据暴露、赎金要求、客户数量或按系统的恢复时间表。因此,本文将这些细节视为未知,除非有其他公开证据支持。
2 月 1 日,FIA 发布了一份公开评论,位于https://www.fia.org/fia/articles/fia-comments-ion-group-cyber-incident。FIA 表示,已注意到 ION Group 某些系统因网络事件导致的网络问题,这些问题正在影响 ION 客户在全球市场中对交易所交易衍生品的交易和清算。FIA 称,正在与受影响成员(包括清算公司和交易所)以及市场监管机构和其他方合作,以评估对交易、处理和清算的影响。FIA 还称,正在通过定期电话会议协调沟通和信息共享,以评估受影响的公司、企业如何缓解中断,以及明确受影响的监管义务和报告。
2 月 2 日,CFTC 发布了第一份公开声明。声明称,该问题影响了部分清算会员及时提供准确数据的能力。它将事件与注册人所需数据的延迟以及每周交易商持仓报告的推迟联系起来。它指示受影响的报告公司在每日大型交易商报告中尽量使用最佳估计,并在系统恢复运行后提交修订报告。这是一项值得注意的公开降级模式指示:尽可能继续合规,必要时使用估计,与工作人员协调,并在事后修复记录。
2 月 10 日,CFTC 发布了后续声明,位于https://www.cftc.gov/PressRoom/PressReleases/8655-23。声明称,事件的影响已得到缓解,但负责报告的公司仍在及时准确地提交数据方面遇到问题。声明称,交易商持仓报告将继续推迟,直至所有交易可以报告,并将在收到并验证后发布。它再次告知受影响公司继续尽最大努力加快合规义务,并在系统恢复运行后提交修订报告。
2 月 16 日,CFTC 在https://www.cftc.gov/PressRoom/PressReleases/8662-23上宣布,原定于 2 月 17 日发布的交易商持仓报告将被推迟。工作人员计划最早于 2 月 24 日恢复发布,从原定 2 月 3 日的报告开始,然后以加快的方式依次发布遗漏的报告,前提是数据提交准确完整。因此,公开记录显示报告延迟以周计,而非小时。
时间线之所以重要,是因为每个阶段都有不同的问责职责。在控制阶段,ION 必须隔离受影响的服务器并修复服务。在市场响应阶段,清算会员和交易所必须在可能的情况下继续交易、清算和处理,并确定受影响的监管义务。在监管响应阶段,CFTC 工作人员必须维持合规期望,同时允许最佳估计和修订报告。在追赶阶段,所有各方必须在公开报告恢复之前验证积压的数据。
事件揭示了交易后工作流中的第三方集中度
第三方集中度通常被视为云、数据中心或支付网络问题。ION 事件表明,集中度也可能存在于专门的交易后软件中。交易所交易和清算的衍生品市场不仅仅包括匹配引擎和清算所。它们还依赖订单管理、执行、交易、分配、让与、交易捕获、清算、结算、对账、风险和监管报告工具。一个横跨这些工作流的供应商,即使本身不是中央对手方,也可能变得至关重要。
FIA 的事后报告是这一观点的主要公开来源。它称,针对全球众多清算经纪商所使用的单一第三方服务提供商的勒索软件攻击,引发了处理多个交易所执行的交易的重大中断。它称,此次攻击的规模和严重性引人注目,并展示了单一服务提供商的中断如何对广泛的公司产生破坏性影响。它还称,工作组的工作假设是未来的攻击将会成功,因此聚焦于恢复,而非假定预防总是有效的。
这种框架很有用,因为它避免了两种薄弱立场。第一种薄弱立场是假设如果受监管市场未受损害,该事件就只是一个供应商问题。CFTC 的声明表明为什么这种观点过于狭隘:报告和公开市场数据被延迟了。第二种薄弱立场是假设网络安全仅关乎防止入侵。FIA 的报告指出,应假设未来攻击将会发生,并应改进恢复能力。在复杂市场中,恢复的质量是一个市场控制问题。
有支持的推论是,依赖共享供应商的企业需要一个实时依赖清单,而非静态的供应商列表。实时清单应显示哪些业务功能依赖该供应商,哪些报告依赖供应商的数据,存在哪些手动权宜措施,哪些员工可以操作它们,哪些客户受到影响,涉及哪些交易所和清算所,哪些监管机构需要通知,以及在恢复正常流程之前必须满足哪些重连门槛。
未知因素依然存在。公开记录并未指明每个 ION 客户、每个受影响的交易所、每个受影响的产品、每笔缺失的交易记录或每个权宜措施。它也未显示每家公司在合同中如何约定韧性、数据访问、恢复时间目标、审计权、网络通知或重连支持。本文不宣称这些细节。它指出了当一个供应商支持众多公司时重要的证据类别。
报告延迟将供应商故障变成公开市场证据问题
CFTC 的声明很重要,因为它们显示了事件从私人供应商恢复转向了公开监管数据。交易商持仓报告被市场参与者、分析师和研究人员广泛用于了解持仓情况。该报告的延迟虽不同于市场暂停,但这是一个公开证据缺口。这意味着监管机构和用户正在等待受影响公司提供完整、准确、经过验证的数据。
CFTC 2 月 2 日的声明称,受影响的报告公司当时没有足够信息来充分准备 CFTC 法规第 17 部分所要求的每日大型交易商报告。CFTC 第 17 部分大型交易商报告要求可通过法规文本获取,位于https://www.ecfr.gov/current/title-17/chapter-I/part-17。声明告知受影响公司尽量使用最佳估计,并在系统恢复运行后提交修订报告。这种措辞保留了责任:估计是允许的临时桥梁,但必须在记录可用时进行修订。
CFTC 2 月 10 日和 2 月 16 日的发布显示,即使在影响缓解后,报告问题仍然存在。2 月 16 日的发布描述了一个顺序追赶计划,从遗漏的 2 月 3 日报告开始,然后以加快的方式发布遗漏的报告,前提是积压的数据准确且完整。这是降级模式报告治理的一个实际例子。监管机构并未仅仅因为市场想要报告就发布不完整的数据。它等待接收和验证。
有支持的推论是,监管报告连续性必须在事件发生前设计好。企业应知道哪些报告依赖供应商系统,哪些源数据可以导出,如何创建估计,谁批准它们,如何跟踪修订,如何通知监管机构,以及如何验证积压的记录。供应商应知道哪些客户数据导出需要支持降级报告,客户不应在中断期间反向工程这些内容。
公开问责问题不在于 CFTC 工作人员是否合理处理了延迟;公开记录表明其方法是有条理的。问题在于市场参与者和供应商是否拥有足够的预先规划的数据可移植性和报告重建能力。FIA 的报告表明,一些公司需要紧张工作来收集和处理缺失的交易记录。这意味着正常的自动化工作流与紧急证据需求之间存在差距。
重连是一项控制决策,而不仅仅是技术重启
ION 的声明称受影响的服务器已断开连接。FIA 的事后报告后来强调重连是一个重要教训。在金融市场环境中,重连不仅仅是重新接入系统。它需要确保环境干净、数据准确、接口安全、交易对手准备就绪、监管机构得到通知,以及客户了解哪些记录已被正常处理、哪些需要核对。
FIA 的报告称,重连需要证明,且不同的要求增加了延迟。它将重连视为恢复过程中的关键步骤之一。这很重要,因为每个受影响的公司都必须决定何时可以安全地重新连接到遭受网络事件的供应商,而每个供应商必须提供足够的证据来满足不同风险政策、监管机构、清算所、交易所和内部控制标准的客户。
有支持的推论是,重连标准应预先协商。企业不应在勒索软件事件期间才发现每个客户需要不同的证据包,每个交易所门槛不同,每个监管机构期望不同的通知,每个内部风险委员会要求不同的证明。一个基线重连包可能包括:事件控制状态、受影响环境范围、恶意软件清除证据、完整性检查、数据对账状态、特权访问审查、补丁和配置状态、第三方验证以及残余风险的明确声明。
重连还具有市场公平性影响。如果一些公司因为其证据要求较轻而比其他人更早重连,运营能力可能会不均匀地恢复。这并不证明不公平或不当行为。但这确实意味着重连不仅仅是网络安全判断。它影响交易、清算、报告、客户服务、人员配置负担,并可能影响竞争地位。一个好的问责框架应使这些重连标准足够透明,以便在下一次事件发生前可预测。
本文不断言 ION 的重连决策存在缺陷。公开证据不允许得出该结论。本文指出,该事件表明重连本身应成为行业控制标准,因为服务于众多清算经纪商的供应商无法通过一次双边的对话来恢复信心。
清算会员承担了他方事件的操作负担
供应商事件中的一个棘手问责问题是成本转移。供应商可能是被攻陷的一方,但客户承担操作负担。在 ION 事件中,清算会员和其他公司必须评估受影响流程、在可能的情况下继续市场活动、准备最佳估计、随后提交修订报告、收集缺失的交易记录、处理积压工作,并满足内部和外部的重连要求。这些工作并非免费。
FIA 2 月 1 日的评论称,该协会与受影响的成员、清算公司、交易所、市场监管机构和其他方合作,以评估对交易、处理和清算的影响。这意味着负担分布在整个行业。FIA 的事后报告称,一些受影响的公司需要长达两周的紧张工作来收集和处理缺失的交易记录并重连系统。这是对客户方恢复工作的直接陈述。
有支持的推论是,第三方合同和韧性计划应更精确地分配恢复义务。如果供应商支持关键的交易后功能,合同应涉及数据导出权、紧急支持、事件通知时间、恢复目标、独立保证、重连证据、测试参与、责任、客户协调和面向监管机构的协助。如果这些条款含糊不清,客户可能会在事件期间发现他们理论上的连续性权利无法转化为可用的数据和支持。
这不仅仅是双边合同问题。财政部在https://home.treasury.gov/news/press-releases/jy2029的讲话讨论了运营韧性、透明度、集中度以及服务提供商为客户安全承担更多责任的必要性。虽然这些讲话并非关于 ION 的具体调查结果,但它们抓住了适合此案例的政策主题:当金融行业客户依赖集中的技术提供商时,韧性的负担不应完全落在客户身上。
未知因素很重要。公开记录未披露 ION 的合同、服务水平承诺、客户恢复通信、财务信用、事件成本、保险索赔、诉讼立场或与 ION 的任何监管和解。本文不推断这些事实。它指出,公开事件记录使这些问责类别变得相关。
勒索软件归因应谨慎对待
公开报道,包括路透社的https://www.reuters.com/technology/hackers-say-ransom-paid-case-derivatives-data-firm-ion-company-declines-comment-2023-02-03/,讨论了黑客的声称和与赎金相关的断言。其他报道描述了 LockBit 的声称和可能的支付背景。这些报道有助于理解公开叙事和市场关切,但它们在此不被视为赎金支付、数据泄露或技术根本原因的证据。
谨慎的原因与其他勒索软件问责档案相同。攻击者有夸大其词的动机。暗网列表不是取证报告。赎金声称可能无法通过公开来源验证。公司拒绝置评的报道不是确认。公开分析应避免将对手的宣传变成既定事实。
已确认的公开事实就足够。ION 确认了一起影响部分服务的网络安全事件、对特定环境的控制、服务器断开连接以及持续的修复。CFTC 确认了报告延迟以及对部分清算会员及时提供准确数据能力的影响。FIA 确认了行业协调,后来将中断描述为由针对众多清算经纪商使用的单一提供商的勒索软件攻击引发。这些来源在不需要依赖威胁行为者声称的情况下确立了问责案例。
CISA 的勒索软件指南位于https://www.cisa.gov/stopransomware/ransomware-guide、NIST 的网络安全框架位于https://www.nist.gov/cyberframework以及 NIST SP 800-61 Rev. 3 位于https://csrc.nist.gov/pubs/sp/800/61/r3/final为事件响应、恢复、沟通和改进提供了通用背景。它们不是关于 ION 的私有证据。它们有助于定义成熟响应应记录的内容。
因此,本文保持明确的边界。它可以说明该事件被公开讨论为勒索软件,因为 FIA 的事后报告使用了该框架。它可以说明路透社报道了黑客的声称。它不能说明赎金已支付、特定数据被盗、特定漏洞被利用或特定行为者确定负责,除非主要公开来源确认。
CFTC 的回应展示了降级模式合规如何运作
CFTC 的公开声明很有用,因为它们没有假装报告正常继续。它们承认一些公司缺乏足够信息来充分准备每日大型交易商报告。它们允许使用最佳估计,要求与工作人员协调,并要求在系统恢复运行后提交修订报告。它们将交易商持仓报告推迟至交易可以报告且数据经过验证。这是一个务实的降级模式合规模型。
这很重要,因为受监管市场不能等到完全恢复后才恢复每项义务。同时,他们不能将估计视为最终结果。CFTC 的回应创建了一个桥梁:现在尽最大努力,之后修订,验证后发布,顺序追赶。该模型不仅适用于衍生品报告。在任何金融市场网络事件中,监管机构都需要一种方式来接收临时数据,同时不丢失最终的证据记录。
有支持的推论是,企业应为受监管报告制定“估计与修订”剧本。剧本应定义何时允许估计、如何在内部标注、哪些数据来源支持、谁批准、分配什么置信水平、如何生成修订报告、如何解释差异以及如何保存最终记录。没有这些控制,估计可能变成不受控制的猜测。有了控制,估计可以在保留更正义务的同时,让监管机构了解情况。
公开记录未显示每个受影响的报告公司如何实施 CFTC 的指示。它未显示估计是否存在重大不准确、提交了多少修订报告、多少公司受到影响,或是否对特定报告人采取了执法行动。本文不声称这些结果。它指出 CFTC 的声明是监管机构管理的降级模式的证据。
更广泛的问责教训是,监管机构和行业组织应预先为第三方事件定义降级报告类别。如果关键供应商出现故障,企业应知道哪些字段可以估计、哪些不能、哪些报告必须延迟提交、哪些修订是强制性的,以及哪些公开报告应等待验证。ION 事件表明,这些问题并非理论性的。
行业协调是必要的,因为没有一家公司能独自解决整个问题
FIA 的角色很重要,因为没有一家清算会员能单独解决多公司供应商中断。FIA 协调沟通和信息共享,与相关方举行电话会议,评估受影响的公司,探讨缓解措施,并寻求明确监管义务和报告。后来,FIA 成立了一个网络风险工作组,并发布了调查结果和建议。这是行业级问责的模式:当依赖关系共享时,协调也必须共享。
CFTC 委员 3 月 8 日的声明位于https://www.cftc.gov/PressRoom/SpeechesTestimony/johnsonstatement030823,它很有用,因为它将 ION 事件置于更广泛的运营韧性、重大事件响应、客户资产和信息保护、第三方服务提供商以及 FIA 工作组成立的讨论中。它还将讨论与《国家网络安全战略》(可获取于https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf)联系起来,该战略强调重新平衡责任和重新调整激励措施。
有支持的推论是,供应商集中度需要在事发前进行协调演练。一个好的演练应包括提供商、主要客户、清算所、交易所、监管机构、行业组织,或许还包括关键数据接收者。它将测试事件通知、客户优先级、数据导出、手动处理、监管报告、重连标准、公开沟通和事后证据。如果第一次全面协调电话发生在事件之后,行业已经落后了。
行业协调还必须维护问责边界。行业组织可以共享信息并协调电话,但不能替代供应商恢复和证明其系统的义务。监管机构可以允许最佳估计,但不能让清算会员的记录完整。客户可以创建权宜措施,但不能看到提供商的取证环境内部。每个参与者都有不同的控制域。一个好的事后记录应使这些域明确。
ION 案例很有价值,因为公开来源共同展示了各个层面:公司声明、监管机构声明、行业协调、事后报告和政策讨论。许多网络事件只留下简短的公司通知。在这里,公众可以看到第三方供应商事件如何通过市场运营和监管证据演变。
安全自动化必须包括交易记录和报告重建
清单包含安全自动化,ION 事件说明了自动化为何不能止步于端点检测。对于清算衍生品工作流的提供商,自动化应支持控制、干净重建、数据完整性检查、客户沟通、交易记录导出、报告重建、积压排序和重连证据。如果恢复完全依赖于手动查找缺失的记录,市场将为这一差距付出代价。
FIA 的报告称,一些公司需要紧张工作来收集和处理缺失的交易记录。这句话在操作上很重要。它表明,正常系统没有为每个受影响的公司提供一个干净、立即可用的恢复包。在勒索软件事件期间,这或许可以理解,但这正是韧性工程应该改进的地方。缺失记录的识别应快速、结构化且可审计。
有支持的推论是,提供商和客户应为关键的监管和清算义务维护独立可恢复的数据视图。这并不意味着在每个客户环境中复制每个生产系统。这意味着确定在供应商环境不可用时重建交易、头寸、报告、分配、让与、清算提交和对账所需的最小数据。它还意味着测试这些导出能否被真实运营团队在时间压力下使用。
NIST 的事件响应指南和 CISA 的勒索软件指南在此很有用,因为它们强调准备、沟通、控制、根除、恢复和吸取教训。但金融市场技术提供商需要特定领域的覆盖。通用备份不够,如果它不能支持监管报告。通用事件工单不够,如果客户需要字段级数据沿袭。通用恢复状态不够,如果清算会员需要知道哪些交易缺失、哪些报告需要修订。
关于 ION 的架构和客户控制,未知因素仍然存在。公开记录未披露备份设计、数据导出设计、日志覆盖范围、分段、特权访问、检测规则、重建方法或外部验证。本文不推断这些细节。它指出,该事件展示了关键交易后供应商应具备的自动化和证据类型。
关键市场供应商的负责任修复应是什么样
公开来源未公布 ION 的内部修复路线图,本文也不声称了解它。尽管如此,CFTC 和 FIA 的记录确定了负责任修复应能证明的内容。第一个要求是一个在紧急情况下有用的服务映射。它应显示哪些客户工作流依赖每个服务,哪些报告依赖每个数据集,哪些交易所和清算场所已连接,哪些客户需要立即通知,以及哪些数据导出支持降级操作。当客户需要知道哪些交易记录缺失时,通用服务目录不够。
第二个要求是可移植的恢复数据。关键客户不应等到供应商完全恢复才能识别自己的报告缺口。提供商可以在保护安全和保密的同时,设计允许客户重建交易、头寸、分配、让与、清算提交和监管报告的紧急导出、完整性报告和数据字典。这些导出应与真实用户一起测试,因为只有工程师能解读的文件将无法支持实时合规截止期限。
第三个要求是重连标准。FIA 报告的重连讨论说明了其重要性。客户需要知道在接口恢复之前将提供哪些证据:控制状态、受影响环境范围、恶意软件清除证据、重建方法、完整性检查、特权访问审查、补丁状态、监控状态、第三方验证和已知的残余问题。如果这些要素在事件期间协商,恢复会变慢,信任变得不均匀。
第四个要求是共享的降级模式报告剧本。CFTC 的最佳估计和修订报告指示是务实的,但企业不应在勒索软件事件期间临时发明机制。剧本应定义估计标签、批准负责人、修订触发条件、差异跟踪、监管沟通和最终证据保留。它还应该识别哪些数据字段过于敏感或不确定,以至于没有明确的监管机构协调就无法估计。
第五个要求是行业演练。多客户提供商事件无法在一家公司内部完全测试。供应商、清算会员、交易所、清算所、监管机构和行业协会应演练通知、数据导出、手动处理、报告延迟、公开沟通和重连。目标不是公开每个敏感控制,而是让下一次响应更少即兴发挥,并减少被困在一个受损环境中的市场关键证据的数量。
确认的事实、有支持的推论和未知因素
已确认的公开事实包括:ION Markets 旗下部门 ION Cleared Derivatives 于 2023 年 1 月 31 日开始经历了一起影响部分服务的网络安全事件;ION 称事件被控制在特定环境内;受影响的服务器已断开连接;修复正在进行中。已确认的公开事实还包括:FIA 称该事件影响了 ION 客户在全球市场中对交易所交易衍生品的交易和清算,并且 FIA 与受影响的成员、清算公司、交易所、监管机构和其他方协调了沟通。
已确认的公开事实包括:CFTC 工作人员称该事件影响了部分清算会员及时提供准确数据的能力,延迟了注册人所需的数据,推迟了交易商持仓报告,要求受影响公司在每日大型交易商报告中尽量使用最佳估计,并要求在系统恢复运行后提交修订报告。已确认的公开事实包括:2 月 10 日声明称,即使在影响缓解后,报告问题仍然存在;2 月 16 日声明描述了推迟的 CoT 报告和计划的顺序追赶。
已确认的公开事实包括:FIA 的事后调查结果称,针对全球众多清算经纪商所使用的单一第三方提供商的勒索软件攻击,引发了处理多个交易所执行的交易的重大中断;该攻击展示了单一服务提供商中断如何损害广泛的公司并威胁有序运行;一些受影响的公司需要长达两周的紧张工作来收集和处理缺失的交易记录并重连系统。
有支持的推论包括:第三方供应商集中度、报告连续性、降级模式合规、数据可移植性、重连证据、手动权宜控制、客户方恢复负担和行业协调都是该事件中的问责面。有支持的推论还包括:关键供应商应提供经过测试的恢复数据和重连保证,足够强大以使受监管客户在压力下履行义务。
未知因素仍然重要。公开记录未披露初始访问向量、来自主要来源的确定性攻击者归因、赎金要求、赎金支付、数据盗窃、受影响客户的精确数量、所有受影响的产品和交易所、按公司划分的报告缺口、客户特定损失、完整恢复时间表、合同条款、服务信用、保险结果、私人取证结果或与 ION 或受影响公司的最终监管通信。本文不通过指控来填补这些空白。
持久的问责检验
持久的问责检验是,当关键的交易后供应商中断时,市场能否保持其证据链完整。ION 的公开声明显示了提供商的控制框架。CFTC 的声明显示了监管机构管理的报告降级和追赶。FIA 的材料显示了行业协调、集中风险、重连负担以及假设未来攻击将会成功的必要性。这些来源共同展示了一个金融科技问责案例,而非一个狭窄的供应商中断。
对清算会员而言,教训是供应商依赖必须与独立的恢复数据、经过测试的手动程序以及预先计划的报告估计和修订相结合。对供应商而言,教训是控制只是首要职责;客户需要交易记录访问、恢复排序、重连证据和清晰的沟通。对监管机构而言,教训是降级模式报告应在供应商事件前设计好,并应包括验证和修订机制。对行业组织而言,教训是共享依赖关系需要共享演练和共享响应渠道。
ION Cleared Derivatives 使勒索软件成为清算连续性的问责考验,因为它揭示了第三方提供商的故障如何从交易处理深入到监管数据和公开市场证据。提供商控制了受影响环境和修复。客户控制了自己的权宜措施和报告义务。监管机构控制了报告期望和发布时间。问责要求三者共同合作,并有足够证据证明不仅系统恢复了,而且交易、报告、重连和积压数据都完整可靠。

