本周早些时候发生的美国证券交易委员会 X 账户被黑事件揭示了一个令人不安的事实：华尔街首席监管机构的网络安全措施屡屡被发现存在缺陷。

去年，该机构的内部监察机构对其进行了审查，发现该机构并未完全遵守联邦网络安全标准，包括要求面向公众的系统支持多因素身份验证。一年前进行的另一项独立评估发现，该委员会的安全措施存在薄弱环节，如防止未经授权访问网络的协议。

美国证券交易委员会绝不是近年来唯一一个因网络安全防御不严而受到抨击的联邦机构，但其在监管全美公司和市场方面的高调角色使其成为黑客特别青睐的目标。据美国检方称，2016 年，该机构遭受了一次网络攻击，其企业申报数据库遭到破坏，黑客得以利用非公开信息获利。

阿肯色州共和党议员弗伦奇-希尔（French Hill）周三在美国众议院数字资产小组会议上说："我们昨天刚刚目睹了华盛顿最新的技术漏洞，这也是美国证券交易委员会的一个真正低洼地带。他说，国会共和党人正在致信美国证券交易委员会主席加里-根斯勒（Gary Gensler），要求对黑客事件展开调查。"

周四，俄勒冈州民主党参议员罗恩-怀登（Ron Wyden）和怀俄明州共和党参议员辛西娅-卢米斯（Cynthia Lummis）也呼吁对黑客事件展开调查。在致美国证券交易委员会监察长的一封信中，这两位议员要求调查"美国证券交易委员会显然没有遵循网络安全最佳实践"，包括多因素身份验证。

证交会拒绝就其网络安全政策发表评论。联邦调查局正在调查本周二发生的事件，在这起事件中，一名黑客控制了 SEC 在 X（Twitter的前身）上的账号。黑客随后发布了一条虚假帖子，不实地称监管机构已经批准了现货比特币交易所交易基金计划，导致比特币价格飙升。(一天后，该机构批准了 ETF 计划）。

X 在一份声明中说，一个身份不明的人通过获取相关电话号码，入侵了美国证券交易委员会的 X 账户。声明还指出，美国证券交易委员会没有激活双因素身份验证--随着网络攻击的增加，双因素身份验证已成为企业的标准安全层。目前仍不清楚 SEC 为何没有设置额外的身份验证。

美国证券交易委员会最近对上市公司实施了新规定，要求它们在四个工作日内披露网络事件，作为提高企业网络防御透明度的广泛努力的一部分。今年 10 月，美国证券交易委员会还起诉了 SolarWinds 公司--该公司在 2020 年的一次黑客攻击事件中被俄罗斯黑客入侵，企业和政府机构都受到了威胁--指控其淡化安全风险，欺骗投资者。

在周四的一份声明中，代表 SolarWinds 的 Latham & Watkins 律师事务所律师 Serrin Turner 说，SEC 周二的黑客事件"凸显了任何组织的安全控制都不可能被认为是完美实施的，以及为什么监管机构应该非常谨慎和谦卑地对待网络安全"。

根斯勒自己也曾指出，企业需要加强数字安全。10 月份，他在 X 上发布了一条提醒，"确保你的金融账户安全，防止身份盗窃和欺诈"。他建议的一项措施是多因素身份验证。

2022 年，白宫发布了一项网络安全战略，指示各机构采取广泛行动，更好地保护网络安全。该战略强调了多因素身份验证的必要性，将其描述为"联邦政府安全基线的关键部分"。

SEC监察长在 9 月份的一封信中报告说，证交会在实施这些行动方面取得了一些进展。但报告显示，它在一些任务上仍然滞后。具体来说，截至去年审计时，证交会尚未将其所有面向公众的系统配置为支持多因素身份验证。

监察长的报告显示，证交会反而认为自己"总体上"符合标准，因为除了一个系统外，其他系统都已迁移到使用Login.gov，这是一个更广泛的联邦政府访问网站，需要双因素身份验证。虽然证交会认为剩余的系统风险有限，但监察长坚持认为，为防止黑客进入证交会的网络，防网络钓鱼身份验证仍然是必要的。

科尔尼公司（Kearney & Co.）对美国证券交易委员会的数据安全控制进行了单独评估，发现该机构没有持续实施限制访问其系统的程序。这项于 2022 年进行的审查指出，一些缺陷最早可追溯到五年前。具体的缺陷被删节，但研究发现，这些漏洞部分是由与COVID-19大流行相关的在家办公政策造成的。科尔尼公司最终得出结论，美国证券交易委员会的信息安全计划不符合"有效"的联邦定义。

去年，松懈的数据安全措施迫使 SEC 在其内部法庭上驳回了 42 起执法案件。

该机构发现，一些执法人员可以看到他们本不该看到的备忘录。证交会当时表示，它对这一失误感到遗憾，并将其归咎于缺乏适当的保障措施。

2016 年，一群东欧黑客入侵了该监管机构的公司文件数据库。法庭文件显示，这些黑客窃取了非公开的公司财报，并以此进行交易，赚取了 410 多万美元。

今年 9 月，监管机构建议在同一数据库中增加多因素身份验证功能。