A Comissão de Valores Mobiliários dos EUA (SEC, na sigla em inglês) acusou quatro empresas públicas, atuais e anteriores, de fazerem divulgações "materialmente enganosas" relacionadas ao grande ataque cibernético decorrente do hackeamento da SolarWinds em 2020.
A SEC declarou que as empresas – Avaya, Check Point, Mimecast e Unisys – estão sendo penalizadas pela forma como lidaram com o processo de divulgação após o incidente da cadeia de suprimentos de software da SolarWinds Orion e por minimizarem a extensão da violação, infringindo assim a Lei de Valores Mobiliários de 1933, a Lei de Bolsas de Valores de 1934 e as regras relacionadas a elas.
Nesse sentido, a Avaya pagará uma multa de 1 milhão de dólares, a Check Point pagará 995.000 dólares, a Mimecast pagará 990.000 dólares e a Unisys pagará 4 milhões de dólares para liquidar as acusações.
Além disso, a SEC também acusou a Unisys de violações de controles de divulgação e procedimentos.
"Embora as empresas públicas possam se tornar alvos de ataques cibernéticos, é incumbência delas não vitimizar ainda mais seus acionistas ou outros membros do público investidor, fornecendo divulgações enganosas sobre os incidentes de cibersegurança que enfrentaram", disse Sanjay Wadhwa, diretor interino da Divisão de Aplicação da SEC.
Aqui, as ordens da SEC consideram que essas empresas forneceram divulgações enganosas sobre os incidentes em questão, deixando os investidores no escuro sobre o verdadeiro escopo dos incidentes.
De acordo com a SEC, as quatro empresas aprenderam que os atores de ameaças russos por trás do hack do SolarWinds Orion acessaram seus sistemas de maneira não autorizada, mas optaram por minimizar o escopo do incidente em suas divulgações públicas.
A Unisys, disse a agência federal independente, optou por descrever os riscos decorrentes da intrusão como "hipotéticos", apesar de estar ciente do fato de que os eventos de cibersegurança levaram à exfiltração de mais de 33 GB de dados em duas ocasiões diferentes.
A investigação também descobriu que a Avaya declarou que o ator de ameaça havia acessado um "número limitado" de mensagens de e-mail da empresa, quando, na realidade, estava ciente de que os atacantes também haviam acessado pelo menos 145 arquivos em seu ambiente de nuvem.
Quanto à Check Point e Mimecast, a SEC questionou a forma como elas apresentaram os riscos do vazamento de forma ampla, com a última também falhando em divulgar a natureza do código que o ator de ameaça exfiltrou e o número de credenciais criptografadas que o ator de ameaça acessou.
"Em dois desses casos, os fatores de risco relevantes de cibersegurança foram enquadrados de forma hipotética ou genérica quando as empresas sabiam que os riscos alertados já haviam se materializado", disse Jorge G. Tenreiro, chefe interino da Unidade de Ativos Cripto e Cyber.
As leis federais de valores mobiliários proíbem meias-verdades, e não há exceção para declarações em divulgações de fatores de risco.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...