In een verklaring zei de SEC dat ICE in april 2021 ontdekte dat iemand een kwaadaardige code had geïnstalleerd in een VPN-apparaat dat werd gebruikt om op afstand toegang te krijgen tot het bedrijfsnetwerk.
Maar het personeel van ICE bracht de dochterondernemingen meerdere dagen niet op de hoogte. Dit betekende dat de dochterondernemingen de regels overtraden waarin staat dat de SEC onmiddellijk op de hoogte moet worden gesteld van een cyberinbraak. (Verslaggeving door David Ljunggren, Bewerking door Franklin Paul)