本週稍早發生的美國證券交易委員會X 帳戶被駭事件揭示了一個令人不安的事實：華爾街首席監管機構的網路安全措施屢屢被發現有缺陷。

去年，該機構的內部監察機構對其進行了審查，發現該機構並未完全遵守聯邦網路安全標準，包括要求面向公眾的系統支援多因素身份驗證。一年前進行的另一項獨立評估發現，該委員會的安全措施存在薄弱環節，例如防止未經授權存取網路的協議。

美國證券交易委員會絕不是近年來唯一一個因網路安全防禦不嚴而受到抨擊的聯邦機構，但其在監管全美公司和市場方面的高調角色使其成為駭客特別青睞的目標。據美國檢方稱，2016 年，該機構遭受了一次網路攻擊，其企業申報資料庫遭到破壞，駭客得以利用非公開資訊獲利。

阿肯色州共和黨議員弗倫奇-希爾（French Hill）週三在美國眾議院數位資產小組會議上說：”我們昨天剛剛目睹了華盛頓最新的技術漏洞，這也是美國證券交易委員會的一個真正低窪地帶。他說，國會共和黨人正在致信美國證券交易委員會主席加里-根斯勒（Gary Gensler），要求對駭客事件展開調查。”

週四，俄勒岡州民主黨參議員羅恩-懷登（Ron Wyden）和懷俄明州共和黨參議員辛西婭-盧米斯（Cynthia Lummis）也呼籲對黑客事件展開調查。在緻美國證券交易委員會監察長的一封信中，這兩位議員要求調查”美國證券交易委員會顯然沒有遵循網路安全最佳實踐”，包括多因素身份驗證。

證交會拒絕就其網路安全政策發表評論。聯邦調查局正在調查本週二發生的事件，在這起事件中，一名駭客控制了SEC 在X（Twitter的前身）上的帳號。駭客隨後發布了一條虛假帖子，不實地稱監管機構已經批准了現貨比特幣交易所交易基金計劃，導致比特幣價格飆升。(一天后，該機構批准了ETF 計劃）。

X 在聲明中說，一個身份不明的人透過取得相關電話號碼，入侵了美國證券交易委員會的X 帳戶。聲明也指出，美國證券交易委員會並未啟動雙重認證–隨著網路攻擊的增加，雙重認證已成為企業的標準安全層。目前仍不清楚SEC 為何沒有設定額外的身份驗證。

美國證券交易委員會最近對上市公司實施了新規定，要求它們在四個工作天內揭露網路事件，作為提高企業網路防禦透明度的廣泛努力的一部分。今年10 月，美國證券交易委員會也起訴了SolarWinds 公司–該公司在2020 年的一次駭客攻擊事件中被俄羅斯駭客入侵，企業和政府機構都受到了威脅–指控其淡化安全風險，欺騙投資者。

在周四的聲明中，代表SolarWinds 的Latham & Watkins 律師事務所律師Serrin Turner 說，SEC 週二的黑客事件”凸顯了任何組織的安全控制都不可能被認為是完美實施的，以及為什麼監管機構應該非常謹慎和謙卑地對待網路安全”。

根斯勒自己也曾指出，企業需要加強數位安全。10 月份，他在X 上發布了一條提醒，”確保你的金融帳戶安全，防止身份盜竊和欺詐”。他建議的一項措施是多因素身份驗證。

2022 年，白宮發布了一項網路安全戰略，指示各機構採取廣泛行動，更好地保護網路安全。該戰略強調了多因素身份驗證的必要性，將其描述為”聯邦政府安全基線的關鍵部分”。

SEC監察長在9 月的一封信中報告說，證交會在實施這些行動方面取得了一些進展。但報告顯示，它在一些任務上仍然滯後。具體來說，截至去年審計時，證交會尚未將其所有面向公眾的系統配置為支援多因素身份驗證。

監察長的報告顯示，證交會反而認為自己”總體上”符合標準，因為除了一個系統外，其他系統都已遷移到使用Login.gov，這是一個更廣泛的聯邦政府訪問網站，需要雙因素身份驗證。雖然證交會認為剩餘的系統風險有限，但監察長堅持認為，為防止駭客進入證交會的網絡，防網路釣魚身分驗證仍然是必要的。

科爾尼公司（Kearney & Co.）對美國證券交易委員會的資料安全控制進行了單獨評估，發現該機構沒有持續實施限制存取其係統的程序。這項於2022 年進行的審查指出，一些缺陷最早可追溯到五年前。具體的缺陷被刪節，但研究發現，這些漏洞部分是由與COVID-19大流行相關的在家辦公政策造成的。科爾尼公司最終得出結論，美國證券交易委員會的資訊安全計劃不符合”有效”的聯邦定義。

去年，鬆懈的資料安全措施迫使SEC 在其內部法庭上駁回了42 起執法案件。

該機構發現，一些執法人員可以看到他們不該看到的備忘錄。證交會當時表示，它對這項失誤感到遺憾，並將其歸咎於缺乏適當的保障措施。

2016 年，一群東歐駭客入侵了該監管機構的公司文件資料庫。法庭文件顯示，這些駭客竊取了非公開的公司財報，並以此進行交易，賺了超過410 萬美元。

今年9 月，監管機構建議在同一資料庫中增加多因素身份驗證功能。