AMP支付100,000美元解决CFTC网络安全费用

期货交易商AMP Global Clearing（AMP）将支付100,000美元，以解决CFTC未能监督客户记录和信息的网络安全的指控。

这些费用涉及2016年6月21日至2017年4月17日之间的监管期间。由于此失败，近十个月来，AMP的大量客户记录和信息都没有受到保护。2017年4月，由于此失败，与AMP（第三方）无关的第三方访问了AMP的信息技术网络，并复制了大约97,000个文件，其中包括客户的记录和信息，包括个人身份信息。此后，第三方与联邦当局就复制信息的安全性进行了联系，并随后告知AMP，复制信息已得到保护，不再由第三方拥有。在了解到该漏洞和未经授权的访问后，AMP与CFTC合作并进行了认真的工作以修复此问题。

CFTC执法总监James McDonald说：“受委托提供敏感信息的实体必须勤奋工作以保护该信息。这不仅是一项好生意，而且对于我们市场中的注册人而言，这是法律。如本例所示，CFTC将努力确保受监管的实体履行这一职责，随着网络威胁遍及我们金融系统的重要性日益提高。”

具体而言，该订单发现AMP无法监督其在AMP的监督下委派执行的IT提供商对ISSP规定的实施，包括识别和执行对进入AMP网络的访问路由的风险评估，执行季度网络风险评估以识别漏洞，保持严格防火墙规则，并检测网络上未经授权的活动。这次失败使AMP的大量客户记录和信息容易受到网络利用，将近十个月，直到第三方访问AMP的网络。

该命令认为AMP网络中的漏洞涉及网络连接存储设备（NASD）中的开放访问路由。三个连续的季度网络风险评估未能发现此漏洞。的确，该命令发现，在第三方访问NASD的内容之前，媒体已经报道了另外三起未经AMP使用的组织未经授权访问NASD的事件，其中包括来自AMP NASD的同一制造商的一些事件。但是，AMP直到访问其网络并且破坏了客户记录和信息后才检测到该漏洞。

该命令要求AMP支付10万美元的民事罚款，并停止并停止违反CFTC有关勤勉监督的规定。该订单还要求AMP在订单签订后的一年内向CFTC提供两份书面跟进报告，以证明AMP为维护和加强其网络的安全性以及对ISSP要求的遵守情况而进行的持续努力。

该命令承认AMP在CFTC执法部门对此事进行调查期间的实质性合作和补救措施，其中包括向该部门提供重要的信息和分析，以帮助该部门有效地进行调查。该命令指出，对AMP征收的民事罚款反映了AMP的合作。