A Comissão de Valores Mobiliários dos EUA (SEC) acusou quatro empresas públicas atuais e antigas de fazerem “divulgações enganosas” relacionadas ao ataque cibernético massivo causado pelo hack da SolarWinds em 2020.
A SEC disse que as empresas – Avaya, Check Point, Mimecast e Unisys – estão sendo punidas pela forma como lidaram com o processo de divulgação após o incidente do software SolarWinds Orion e por subestimarem a extensão da violação, violando assim a Lei de Valores Mobiliários. de 1933, o Securities Exchange Act de 1934 e regulamentos relacionados.
Para esse fim, a Avaya pagará uma multa de US$ 1 milhão, a Check Point pagará US$ 995 mil, a Mimecast pagará US$ 990 mil e a Unisys pagará US$ 4 milhões para resolver as ações judiciais. Além disso, a SEC acusou a Unisys de controles de divulgação e violações processuais.
“Embora as empresas públicas possam ser vítimas de ataques cibernéticos, cabe a elas não vitimar ainda mais seus acionistas ou outros membros da comunidade investidora, fornecendo divulgações enganosas sobre incidentes de segurança cibernética que sofreram”, disse Sanjay Wadhwa, representante interino da SEC. diretor. Divisão de Execução.
“Aqui, as ordens da SEC concluem que essas empresas forneceram divulgações enganosas sobre os eventos em questão, deixando os investidores no escuro sobre o verdadeiro alcance dos eventos.”
De acordo com a SEC, todas as quatro empresas souberam que os agentes russos por trás do hack da SolarWinds Orion obtiveram acesso não autorizado aos seus sistemas, mas optaram por minimizar a extensão do incidente na sua divulgação pública.
A Unisys, disse a agência federal independente, optou por descrever os riscos decorrentes da intrusão como “especulação”, apesar de os eventos de segurança cibernética terem levado à divulgação de mais de 33 GB de dados em duas ocasiões diferentes.
A investigação também descobriu que a Avaya disse que o autor da ameaça acessou um “número limitado” de mensagens de e-mail da empresa, quando, na verdade, sabia que os invasores haviam acessado pelo menos 145 arquivos em seu ambiente de nuvem.
Quanto à Check Point e ao Mimecast, a SEC foi discreta sobre como mapearam o risco de uma violação ampla, e este último também não divulgou o tipo de código que o agente da ameaça divulgou e o número de dados criptografados que o agente da ameaça acessou. .
“Nestes dois casos, os fatores de risco de segurança cibernética envolvidos foram criados com consideração ou em geral quando as empresas sabiam que os avisos de risco já haviam ocorrido”, disse Jorge G. Tenreiro, chefe interino da Crypto Assets and Cyber Unidade. “As leis federais de valores mobiliários proíbem meias verdades e não há exceção para declarações na divulgação de materiais perigosos.”
