A Comissão de Valores Mobiliários dos EUA (SEC) acusou quatro empresas públicas atuais e antigas por fazerem “divulgações materialmente enganosas” relacionadas ao ataque cibernético em grande escala que resultou do hack da SolarWinds em 2020.
A SEC disse que as empresas – Avaya, Test Level, Mimecast e Unisys – estão sendo penalizadas pela forma como lidaram com o processo de divulgação após o incidente da cadeia de fornecimento de software program SolarWinds Orion e minimizando a extensão da violação, infringindo assim a Lei de Valores Mobiliários. de 1933, o Securities Trade Act de 1934 e regras relacionadas sob eles.
Para esse fim, a Avaya pagará uma multa de US$ 1 milhão, a Test Level pagará US$ 995 mil, a Mimecast pagará US$ 990 mil e a Unisys pagará US$ 4 milhões para liquidar as acusações. Além disso, a SEC acusou a Unisys de controles de divulgação e violações de procedimentos.
“Embora as empresas públicas possam se tornar alvos de ataques cibernéticos, cabe a elas não vitimar ainda mais seus acionistas ou outros membros do público investidor, fornecendo divulgações enganosas sobre os incidentes de segurança cibernética que encontraram”, disse Sanjay Wadhwa, diretor interino da SEC. Divisão de Execução.
“Aqui, as ordens da SEC concluem que essas empresas forneceram divulgações enganosas sobre os incidentes em questão, deixando os investidores no escuro sobre o verdadeiro alcance dos incidentes.”
De acordo com a SEC, todas as quatro empresas souberam que os atores russos por trás do hack do SolarWinds Orion acessaram seus sistemas de maneira não autorizada, mas optaram por minimizar o escopo do incidente em suas divulgações públicas.
A Unisys, disse a agência federal independente, optou por descrever os riscos decorrentes da intrusão como “hipotéticos”, apesar de estar ciente do fato de que os eventos de segurança cibernética levaram à exfiltração de mais de 33 GB de dados em duas ocasiões diferentes.
A investigação também descobriu que a Avaya afirmou que o autor da ameaça tinha acessado um “número limitado” de mensagens de e-mail da empresa, quando, na realidade, estava ciente de que os invasores também haviam acessado pelo menos 145 arquivos em seu ambiente de nuvem.
Quanto à Test Level e ao Mimecast, a SEC questionou a forma como eles pintaram os riscos da violação em traços gerais, com o último também deixando de divulgar a natureza do código que o ator da ameaça exfiltrou e o número de credenciais criptografadas que o ator da ameaça acessou. .
“Em dois destes casos, os fatores de risco de segurança cibernética relevantes foram enquadrados de forma hipotética ou genérica quando as empresas sabiam que os alertas de riscos já haviam se materializado”, disse Jorge G. Tenreiro, chefe interino da Unidade de Criptoativos e Cibernéticos. “As leis federais de valores mobiliários proíbem meias verdades e não há exceção para declarações em divulgações de fatores de risco.”
