In hun brief stelden Vance en Tillis een deadline van 23 januari voor de SEC om onder meer duidelijkheid te verschaffen over haar plannen om te onderzoeken wat er is gebeurd.
In een verklaring zei de SEC dat het “zou samenwerken met wetshandhavingsinstanties en onze partners binnen de overheid om deze zaak te onderzoeken en de passende vervolgstappen te bepalen met betrekking tot de ongeoorloofde toegang en enig gerelateerd gedrag”, maar gaf geen verdere details.
In de praktijk zal er waarschijnlijk een ‘alfabetsoeponderzoek’ volgen, aldus John Stark, die achttien jaar als advocaat bij de SEC heeft gediend. Deze onderzoeken zullen waarschijnlijk afzonderlijke onderzoeken omvatten door de SEC zelf, het Amerikaanse ministerie van Justitie – dat zich zal concentreren op het identificeren van de hackers – en mogelijk andere regelgevende instanties. Het DOJ reageerde niet op een verzoek om commentaar.
Het interne onderzoek van de SEC, zegt Stark, zal waarschijnlijk worden geleid door het Bureau van de Inspecteur-Generaal, onafhankelijk van de rest van het agentschap, en zal zich in plaats daarvan richten op elk “wangedrag van het personeel” dat de inbreuk op de beveiliging mogelijk heeft gemaakt. De bevindingen van wat waarschijnlijk een ‘robuust onderzoek’ zal zijn, zullen naar het Congres worden gebracht, zegt hij, maar pas over enkele maanden.
In juli legde de SEC nieuwe regels op aan bedrijven die zich bij het agentschap registreren, waardoor ze belangrijke cyberveiligheidsincidenten en hun “aard, omvang en timing” binnen vier werkdagen openbaar moesten maken. De SEC heeft geen antwoord gegeven op de vraag of zij dit type voorlopig zal publiceren.
Na de inbreuk op de beveiliging kreeg Gensler – een soort tekenfilmschurk in cryptokringen vanwege de agressie van zijn bureau jegens de industrie – te maken met treiteren En roept om zijn ontslag onder crypto-persoonlijkheden op X.
Toch is het onwaarschijnlijk dat Gensler gedwongen zal worden af te treden, zegt brancheanalist Noelle Acheson, voorheen van cryptomakelaardij Genesis. ‘Ik zie niet dat hij het bedrijf moet opgeven’, zegt ze, ‘tenzij het uit de hand loopt.’
“De Twitterverse roept al eeuwenlang op tot het aftreden van Gensler. Maar dit is niet iets waar je afstand van doet”, zegt Stark. “In het slechtste geval zal het SEC-personeel zich schuldig maken aan hetzelfde als veel andere bedrijven: slordigheid op het gebied van cyberbeveiliging.”
Hoewel van een organisatie als de SEC mag worden verwacht dat zij zich aan strikte veiligheidsnormen houdt, zegt Stark, die momenteel als cybersecurity-consultant werkt, is het onmogelijk om alle inbreuken te voorkomen. ‘Je kunt er alles aan doen om ze tegen te houden’, zegt hij. “Maar vroeg of laat verprutst iemand het.”