A Comissão de Valores Mobiliários dos Estados Unidos (SEC) informou no final da última quarta-feira, dia 20, que foi vítima de um ataque cibernético em 2016. O órgão acredita que a invasão pode ter alcançado o sistema de arquivamento EDGAR, onde existem informações não publicadas, cujo conteúdo pode ainda estar sendo comercializado pelos cibercriminosos. Não preciso dizer que o problema traz insegurança ao mercado financeiro americano e, em consequência, mundial.
O anúncio diz: “Em agosto de 2017, a Comissão descobriu que um incidente detectado anteriormente em 2016 pode ter servido de base para ganhos ilícitos através de negociações. Especificamente, uma vulnerabilidade do software no componente de teste do sistema EDGAR da Comissão, que foi corrigida prontamente após a descoberta, foi explorada e resultou no acesso a informações não-públicas”.
Sem identificação
O presidente da SEC, Jay Clayton, disse que o sistema EDGAR recebe e processa mais de 1,7 milhão de arquivos eletrônicos por ano e não deu qualquer indicação sobre a identificação dos cibercriminosos. Não foi essa, no entanto, a primeira vez que a SEC foi atingida pela ação dos hackers: em agosto de 2015, o órgão informou que um grupo invadiu o seu serviço de divulgação de notícias para roubar informações ainda não publicadas sobre lucros corporativos, posteriormente utilizados para negócios com ações que geraram mais de US $ 100 milhões em lucros ilegais, segundo estimativas.
Em outro incidente do tipo em dezembro de 2016, a SEC acusou três chineses de invadirem os sistemas de dois escritórios de advocacia de Nova York para roubar informações relacionadas a clientes que estavam fazendo fusões ou aquisições. “A segurança cibernética é fundamental para as operações de nossos mercados e os riscos são significativos e, em muitos casos, sistêmicos”, afirmou o presidente da SEC no comunicado. “Devemos estar vigilantes. Também devemos reconhecer – tanto nos setores público e privado, incluindo a SEC – que haverá intrusões e que um componente-chave do gerenciamento do risco cibernético é a resiliência e a recuperação (…)”
