Американский регулятор оштрафовал четыре компании за недостоверную информацию о перенесенных ими кибератаках
Комиссия по ценным бумагам и биржам США (SEC) обвинила четыре действующие и бывшие публичные компании — Unisys Corp., Avaya Holdings Corp., Check Point Software Technologies Ltd и Mimecast Limited — в раскрытии существенно вводящей в заблуждение информации о рисках кибербезопасности и вторжениях. SEC также обвинила Unisys в нарушении контроля за раскрытием информации и процедур, сообщили в пресс-службе американского регулятора.
Обвинения против четырех компаний являются результатом расследования публичных компаний, которые могут быть затронуты проблемами программного обеспечения Orion от SolarWinds и другой связанной с этим деятельностью. По данным SEC, Unisys, Avaya и Check Point узнали в 2020 году, а Mimecast — в 2021 году, что злоумышленник, вероятно, стоящий за взломом SolarWinds Orion, получил несанкционированный доступ к их системам, но каждый из них в отчетах минимизировал урон кибербезопасности.
"Эти компании предоставили вводящую в заблуждение информацию об инцидентах, оставляя инвесторов в неведении относительно их истинных масштабов", — сказал и.о. директора отдела правоприменения SEC Санджай Вадхва.
Unisys описала свои риски как гипотетические, несмотря на то, что столкнулась с двумя атаками, связанными с SolarWinds, в результате которых хакеры украли гигабайты данных. Что касается Avaya, то злоумышленник получил доступ к "ограниченному количеству сообщений электронной почты компании": по меньшей мере, к 145 файлам в ее облачной среде обмена файлами.
Check Point, в свою очередь, знала о кибератаке, но описала саму атаку и риски от нее в общих чертах. Mimecast минимизировала атаку, не раскрыв характер кода, который хакер украл, и количество зашифрованных учетных данных, к которым злоумышленник получил доступ.
"Преуменьшать масштабы существенного нарушения кибербезопасности
— плохая стратегия. В двух из этих случаев соответствующие факторы риска
кибербезопасности были сформулированы гипотетически или обобщенно, когда
компании знали, что предупреждение о рисках уже материализовалось. Федеральные
законы о ценных бумагах запрещают полуправду, и нет никаких исключений для
заявлений в раскрытии информации о факторах риска", — сказал Хорхе Г. Тенрейро,
и.о. руководителя подразделения криптоактивов и кибербезопасности SEC.
Не признавая и не отрицая выводы Комиссии по ценным бумагам
и биржам, каждая компания согласилась прекратить нарушения и предотвратить их в будущем, а также выплатить штрафы для урегулирования обвинений
SEC:
- Unisys
— $4 млн;
- Avaya — $1 млн;
- Check Point — $995 тыс.;
- Mimecast — $990 тыс.