La Comisión de Bolsa y Valores de EE. UU. (SEC) ha acusado a cuatro empresas públicas actuales y anteriores de realizar “divulgaciones materialmente engañosas” relacionadas con el ciberataque a gran escala que surgió del hack de SolarWinds en 2020.
La SEC dijo que las empresas (Avaya, Check Point, Mimecast y Unisys) están siendo penalizadas por cómo manejaron el proceso de divulgación después del incidente de la cadena de suministro del software SolarWinds Orion y por restar importancia al alcance de la infracción, infringiendo así la Ley de Valores. de 1933, la Ley de Bolsa de Valores de 1934 y las normas relacionadas en virtud de ellas.
Con ese fin, Avaya pagará una multa de 1 millón de dólares, Check Point pagará 995.000 dólares, Mimecast pagará 990.000 dólares y Unisys pagará 4 millones de dólares para resolver los cargos. Además, la SEC ha acusado a Unisys de violaciones de procedimientos y controles de divulgación.
“Si bien las empresas públicas pueden convertirse en blanco de ataques cibernéticos, les corresponde no victimizar aún más a sus accionistas u otros miembros del público inversor proporcionando revelaciones engañosas sobre los incidentes de ciberseguridad que han encontrado”, dijo Sanjay Wadhwa, director en funciones de la SEC División de Ejecución.
“En este caso, las órdenes de la SEC determinan que estas empresas proporcionaron revelaciones engañosas sobre los incidentes en cuestión, dejando a los inversores en la ignorancia sobre el verdadero alcance de los incidentes”.
Según la SEC, las cuatro empresas se enteraron de que los actores de amenazas rusos detrás del hack de SolarWinds Orion habían accedido a sus sistemas de manera no autorizada, pero optaron por minimizar el alcance del incidente en sus divulgaciones públicas.
Unisys, según la agencia federal independiente, optó por calificar los riesgos derivados de la intrusión como “hipotéticos”, a pesar de ser consciente de que los acontecimientos de ciberseguridad provocaron la exfiltración de más de 33 GB de datos en dos ocasiones diferentes.
La investigación también encontró que Avaya afirmó que el actor de amenazas había accedido a un “número limitado” de mensajes de correo electrónico de la empresa, cuando, en realidad, sabía que los atacantes también habían accedido a al menos 145 archivos en su entorno de nube.
En cuanto a Check Point y Mimecast, la SEC se mostró en desacuerdo con la forma en que describieron los riesgos de la infracción a grandes rasgos, y este último tampoco reveló la naturaleza del código que el actor de la amenaza exfiltró y la cantidad de credenciales cifradas a las que accedió el actor de la amenaza. .
“En dos de estos casos, los factores de riesgo de ciberseguridad relevantes se enmarcaron de manera hipotética o genérica cuando las empresas sabían que los riesgos advertidos ya se habían materializado”, dijo Jorge G. Tenreiro, jefe interino de la Unidad de Criptoactivos y Cibernética. “Las leyes federales de valores prohíben las verdades a medias y no hay excepción para las declaraciones en las divulgaciones de factores de riesgo”.