La Comisión de Bolsa y Valores (SEC) anunciado el martes que acusó e impuso sanciones a cuatro empresas por realizar divulgaciones engañosas relacionadas con la violación de datos de SolarWinds de 2019.
Las cuatro empresas acusadas son las firmas de ciberseguridad Check Point, que pagarán una multa civil de 995.000 dólares; Mimecast, que pagará $990.000; y las empresas tecnológicas Unisys, que pagará 4 millones de dólares, y Avaya, que pagará 1 millón de dólares.
Todas estas empresas fueron víctimas de el hack sufrido por SolarWindsque afectó a varias otras empresas y agencias gubernamentales que utilizaban el software SolarWinds. Según la SEC, cada empresa cometió diferentes violaciones que “negligentemente” restaron importancia y minimizaron el daño de las violaciones.
“Si bien las empresas públicas pueden convertirse en blanco de ataques cibernéticos, les corresponde no victimizar aún más a sus accionistas u otros miembros del público inversor proporcionando revelaciones engañosas sobre los incidentes de ciberseguridad que han encontrado”, dijo Sanjay Wadhwa, director en funciones de la SEC División de Ejecución. “En este caso, las órdenes de la SEC determinan que estas empresas proporcionaron revelaciones engañosas sobre los incidentes en cuestión, dejando a los inversores en la ignorancia sobre el verdadero alcance de los incidentes”.
Según la SEC, cada empresa cometió diferentes violaciones. Avaya dijo que los piratas informáticos accedieron a un “número limitado” de correos electrónicos de la empresa, pero no dijo que también accedieron a “al menos 145 archivos en su entorno de intercambio de archivos en la nube”. A pesar de conocer la infracción, Check Point “describió las intrusiones y los riesgos cibernéticos” en “términos genéricos”. Mimecast “minimizó el ataque al no revelar” qué código y la cantidad de credenciales cifradas de la empresa robaron los piratas informáticos. Y Unisys “describió sus riesgos derivados de eventos de ciberseguridad como hipotéticos” a pesar de que sufrió dos violaciones relacionadas con SolarWinds.
La SEC dijo que todas las empresas colaboraron con su investigación y acordaron pagar las sanciones y “cesar y desistir de futuras violaciones de las disposiciones acusadas”, sin “admitir ni negar” las conclusiones de la SEC.
La portavoz de Avaya, Julianne Embry, dijo a TechCrunch que la SEC “reconoció la cooperación voluntaria de Avaya y que tomamos ciertas medidas para mejorar los controles de ciberseguridad de la empresa”.
El portavoz de Check Point, Gil Messing, dijo a TechCrunch que “Check Point investigó el incidente de SolarWinds y no encontró evidencia de que se haya accedido a ningún dato, código u otra información confidencial del cliente. Sin embargo, Check Point decidió que cooperar y resolver la disputa con la SEC era lo mejor para él”.
El portavoz de Mimecast, Timothy Hamilton, dijo a TechCrunch que la compañía “hizo amplias revelaciones y se comprometió con nuestros clientes y socios de manera proactiva y transparente, incluso con aquellos que no se vieron afectados”, en respuesta al hack de SolarWinds.
“Creímos que cumplimos con nuestras obligaciones de divulgación basadas en los requisitos regulatorios en ese momento”, dijo Hamilton.
Cuando TechCrunch se puso en contacto con TechCrunch para hacer comentarios, el portavoz de Unisys, Jamie Baid, declinó hacer comentarios y se refirió a la empresa. presentación 8-K publicado el martes. En el documento, Unisys dijo que llegó a un acuerdo con la SEC que resuelve la investigación del regulador sobre la empresa.
En los últimos años, la SEC ha impuesto una serie de nuevas obligaciones sobre las empresas que cotizan en bolsa cuando se trata de revelar violaciones de datos y sus efectos en la empresa y sus clientes y usuarios.
