Em sua carta, Vance e Tillis estabeleceram o prazo de 23 de janeiro para a SEC elucidar seus planos de investigar o que aconteceu, entre outras coisas.
Em um comunicado, a SEC disse que “trabalhará com as autoridades policiais e nossos parceiros em todo o governo para investigar o assunto e determinar as próximas etapas apropriadas relacionadas ao acesso não autorizado e a qualquer má conduta relacionada”, mas não forneceu mais detalhes.
Na prática, é provável que ocorra uma “sopa de letrinhas de investigações”, de acordo com John Stark, que atuou por 18 anos como advogado na SEC. Essas investigações provavelmente envolverão inquéritos separados conduzidos pela própria SEC, pelo Departamento de Justiça dos EUA – que se concentrará na identificação do hacker – e potencialmente por outros órgãos reguladores. O DOJ não respondeu a um pedido de comentário.
A investigação interna da SEC, diz Stark, será provavelmente conduzida pelo Gabinete do Inspector-Geral, independente do resto da agência, e concentrar-se-á, em vez disso, em qualquer “má conduta do pessoal” que possa ter permitido a violação de segurança. As conclusões do que provavelmente será uma “investigação robusta” serão fornecidas ao Congresso, diz ele, mas não antes de alguns meses.
Em julho, a SEC impôs novas regras às empresas que se registam na agência, exigindo-lhes que divulguem incidentes materiais de segurança cibernética e a sua “natureza, âmbito e momento” no prazo de quatro dias úteis. A SEC não respondeu quando questionada se fará uma divulgação preliminar deste tipo.
Após a violação de segurança, Gensler – uma espécie de vilão de desenho animado nos círculos criptográficos devido à agressão de sua agência contra a indústria – enfrentou zombaria e pede sua demissão entre personalidades criptográficas no X.
É improvável, porém, diz a analista do setor Noelle Acheson, ex-funcionária da corretora de criptografia Genesis, que Gensler seja forçado a renunciar. “Não consigo imaginá-lo abandonando o trabalho”, diz ela, “a menos que ele seja arrancado de suas mãos”.
“O Twitterverse vem pedindo a renúncia de Gensler desde sempre. Mas este não é o tipo de coisa pela qual você renuncia”, diz Stark. “Na pior das hipóteses, os funcionários da SEC serão considerados culpados da mesma coisa que muitas empresas: negligência no que diz respeito à segurança cibernética.”
Embora se deva esperar que uma organização como a SEC mantenha posições de segurança rígidas, diz Stark, que atualmente trabalha como consultor de segurança cibernética, é impossível evitar todas as violações. “Você pode fazer tudo o que puder para detê-los”, diz ele. “Mas, mais cedo ou mais tarde, alguma pessoa estraga tudo.”
