De Amerikaanse Securities and Exchange Commission (SEC) heeft vier huidige en voormalige beursgenoteerde bedrijven aangeklaagd voor het doen van ‘materieel misleidende onthullingen’ met betrekking tot de grootschalige cyberaanval die voortkwam uit de hack van SolarWinds in 2020.
De SEC zei dat de bedrijven – Avaya, Check Point, Mimecast en Unisys – worden gestraft voor de manier waarop zij zijn omgegaan met het openbaarmakingsproces in de nasleep van het incident met de SolarWinds Orion-softwaretoeleveringsketen en het bagatelliseren van de omvang van de inbreuk, waardoor zij de Securities Act overtreden. van 1933, de Securities Exchange Act van 1934 en de daarmee samenhangende regels.
Daartoe zal Avaya een boete van $1 miljoen betalen, Check Point $995.000, Mimecast $990.000, en Unisys $4 miljoen om de aanklacht te vereffenen. Bovendien heeft de SEC Unisys beschuldigd van openbaarmakingscontroles en schendingen van procedures.
“Hoewel beursgenoteerde bedrijven het doelwit kunnen worden van cyberaanvallen, is het hun plicht om hun aandeelhouders of andere leden van het beleggerspubliek niet verder tot slachtoffer te maken door misleidende onthullingen te doen over de cyberveiligheidsincidenten waarmee zij te maken hebben gehad”, zegt Sanjay Wadhwa, waarnemend directeur van de SEC. Afdeling handhaving.
“Hieruit blijkt uit de orders van de SEC dat deze bedrijven misleidende onthullingen hebben gedaan over de incidenten in kwestie, waardoor beleggers in het ongewisse blijven over de ware omvang van de incidenten.”
Volgens de SEC kwamen alle vier bedrijven erachter dat de Russische dreigingsactoren achter de SolarWinds Orion-hack op ongeoorloofde wijze toegang hadden gekregen tot hun systemen, maar kozen ze ervoor om de omvang van het incident in hun openbare onthullingen te minimaliseren.
Unisys, aldus het onafhankelijke federale agentschap, heeft ervoor gekozen om de risico’s die voortvloeien uit de inbraak als ‘hypothetisch’ te omschrijven, ondanks het feit dat zij zich bewust waren van het feit dat de cyberveiligheidsgebeurtenissen bij twee verschillende gelegenheden hebben geleid tot de exfiltratie van meer dan 33 GB aan gegevens.
Uit het onderzoek bleek ook dat Avaya verklaarde dat de bedreigingsacteur toegang had gehad tot een “beperkt aantal” e-mailberichten van het bedrijf, terwijl het bedrijf zich er in werkelijkheid van bewust was dat de aanvallers ook toegang hadden gehad tot ten minste 145 bestanden in de cloudomgeving.
Wat Check Point en Mimecast betreft, was de SEC het oneens met de manier waarop zij de risico’s van de inbreuk in grote lijnen schilderden, waarbij laatstgenoemde ook naliet de aard van de code bekend te maken die de bedreigingsacteur had geëxfiltreerd en het aantal gecodeerde inloggegevens waartoe de bedreigingsacteur toegang had. .
“In twee van deze gevallen werden de relevante risicofactoren voor cyberveiligheid hypothetisch of generiek ingekaderd, terwijl de bedrijven wisten dat de waarschuwingen voor de risico’s zich al hadden gemanifesteerd”, aldus Jorge G. Tenreiro, waarnemend hoofd van de Crypto Assets and Cyber Unit. “De federale effectenwetgeving verbiedt halve waarheden, en er is geen uitzondering voor verklaringen in de openbaarmaking van risicofactoren.”
