Selskapet som eier og driver den teknologiorienterte Nasdaq-børsen, Nasdaq OMX, har bekreftet at de har vært utsatt for datainnbrudd: Statement on Security Violation to NASDAQ OMX Systems.
Les også:
- [07.02.2011] Børsservere infiltrert av hackere
Innbruddene er begrenset til tjenesten Directors Desk, ble avslørt av amerikansk presse lørdag. Nasdaq forsikrer at deres øvrige systemer, blant annet for børshandel, ikke er rammet.
Directors Desk er en nettskytjeneste for sikker distribusjon av følsomme dokumenter til styremedlemmer i bedrifter. Styremedlemmer får tilgang til digitale utgaver av dokumenter som kan leses på pc, Mac, iPad eller Kindle. 10.000 ledere fra flere hundre bedrifter, hvorav mange på Fortune 500-listen, skal være registrerte brukere.
Nettstedet reklamerer med at de tilbyr «høyest tilgjengelig sikkerhetsnivå for å verne om konfidensiell styrekommunikasjon». De begrunner dette med driftssikkerhet etter ISO27001 som blant annet krever sikkerhetsklarering av alle ansatte. Det vises også til sterk autentisering, håndhevet bruk av kraftige passord, kryptering, rollebaserte sikkerhetsprotokoller, snokvarslingssystemer med mer.
Ifølge Nasdaq ble innbruddet avslørt ved at det ble funnet «mistenkelige filer» på servere knyttet til Directors Desk. En etterforskning utført i samarbeid med uavhengige byråer og med føderale myndigheter skal ha slått fast at hackerne ikke har greid å skaffe seg tilgang til noen av kundenes følsomme dokumenter. De mistenkelige filene er slettet.
Et mulig motiv for innbruddet kan ha vært å skaffe seg tilgang til innsideinformasjon med tanke på lønnsom børsspekulasjon basert på opplysninger utilgjengelig for folk flest.
Ifølge Wall Street Journal har ikke etterforskningen konkludert om motivet. Alternative muligheter, som terror, tyveri og svindel, utelukkes ikke.
Innrømmelsen fra Nasdaq om angrepet mot Directors Desk tidfester ikke innbruddet. Ifølge Wall Street Journal har USAs hemmelige tjeneste Secret Service arbeidet med saken i over et år.
I tillegg til eksperter fra USAs justisdepartement og Departmen of Homeland Security har også US-CERT bidratt til etterforskningen.
Delstaten California har innført lovgivning som ville pålagt Nasdaq øyeblikkelig å underrette sine brukere om datainnbruddet mot Directors Desk. Nasdaq forklarer at USAs justisdepartement ba dem holde tett til tidligst 14. februar 2011, av hensyn til etterforskningen. Saken aktualiserer følgelig debatten om hvorvidt, og når, kunder skal underrettes ved alvorlige sikkerhetsbrudd mot IT-systemer.
En av Nasdaq OMXs største konkurrenter, NYSE Euronext som driver New York Stock Exchange og børsene i Amsterdam, Brussel og Paris, har en tjeneste tilsvarende Nasdaq Directors Desk, kalt eGovDirect.com.
Denne tjenesten har vært nede siden onsdag.
I skrivende stund vises kun en melding om at de er «midlertidig utilgjengelig» på grunn av «ikke-planlagt vedlikehold». Sikkerhetshensyn skal være noe av årsaken. Det foreligger ingen offisiell forklaring på hvorfor tjenesten ennå er nede etter flere dagers ikke-planlagt vedlikehold. Det nærer opp under spekulasjon om at Nasdaq-hackerne kan ha slått til også her.
