Una empresa, Unisys Corp., también está acusada de violaciones de controles. Los cargos contra las cuatro empresas son el resultado de una investigación que involucra a empresas públicas potencialmente afectadas por el compromiso del software SolarWinds’ Orion y por otras actividades relacionadas
Washington DC, EEUU — La Comisión de Bolsa y Valores, SEC, acusó a cuatro empresas públicas actuales y anteriores – Unisys Corp., Avaya Holdings Corp., Check Point Software Technologies Ltd, y Mimecast Limited – por hacer divulgaciones materialmente engañosas sobre riesgos e intrusiones de ciberseguridad.
La SEC también imputó el martes a Unisys de controles de divulgación y violaciones de procedimientos. Las empresas acordaron pagar las siguientes sanciones civiles para resolver los cargos de la SEC:
- Unisys pagará una multa civil de $4 millones;
- Avaya. pagará una multa civil de $1 millones;
- Check Point pagará una multa civil de $995.000; y
- Mimecast pagará una multa civil de $990.000.
Los cargos contra las cuatro empresas son el resultado de una investigación que involucra a empresas públicas potencialmente afectadas por el compromiso del software SolarWinds’ Orion y por otras actividades relacionadas.
Las acciones de aplicación de la ley de “A hoy reflejan, mientras que las empresas públicas pueden convertirse en blanco de ciberataques, les corresponde no victimizar aún más a sus accionistas u otros miembros del público inversor proporcionando revelaciones engañosas sobre los incidentes de ciberseguridad que han encontrado”, dijo Sanjay Wadhwa, Director interino de la División de Cumplimiento de la SEC.
“Aquí, las órdenes de la SEC encuentran que estas empresas proporcionaron revelaciones engañosas sobre los incidentes en cuestión, dejando a los inversores en la ignorancia sobre el verdadero alcance de los incidentes”, señala un comunicado del organismo fiscalizador bursátil.
Según las órdenes de la SEC, Unisys, Avaya y Check Point aprendieron en 2020, y Mimecast aprendió en 2021, que el actor de amenazas probablemente detrás del hackeo de SolarWinds Orion había accedido a sus sistemas sin autorización, pero cada uno minimizó negligentemente su incidente de ciberseguridad en sus divulgaciones públicas.
La orden de la SEC contra Unisys encuentra que la compañía describió sus riesgos de eventos de ciberseguridad como hipotéticos a pesar de saber que había experimentado dos intrusiones relacionadas con SolarWinds que implicaban la exfiltración de gigabytes de datos.
La orden también encuentra que estas divulgaciones materialmente engañosas resultaron en parte de controles de divulgación deficientes de Unisys’. La orden de la SEC contra Avaya encuentra que afirmaba que el actor de la amenaza había accedido a un número “limitado de mensajes de correo electrónico de la Compañía [the],” cuando Avaya supo que el actor de la amenaza también había accedido al menos a 145 archivos en su entorno de intercambio de archivos en la nube.
La orden de la SEC contra Check Point encuentra que conocía la intrusión pero describió las intrusiones cibernéticas y los riesgos derivados de ellas en términos genéricos. La orden que acusa a Mimecast encuentra que la compañía minimizó el ataque al no revelar la naturaleza del código que exfiltró el actor de la amenaza y la cantidad de credenciales cifradas a las que accedió el actor de la amenaza.
“Reducir el alcance de una violación material de la ciberseguridad es una mala estrategia, dijo Jorge G. Tenreiro, jefe interino de la Unidad Cibernética y de Activos Criptográficos.
“En dos de estos casos, los factores de riesgo de ciberseguridad relevantes se enmarcaron hipotética o genéricamente cuando las empresas sabían que los riesgos advertidos ya se habían materializado. Las leyes federales de valores prohíben las verdades a medias y no existe ninguna excepción para las declaraciones en divulgaciones de factores de riesgo.”
Las órdenes de la SEC encuentran que cada empresa violó ciertas disposiciones aplicables de la Ley de Valores de 1933, la Ley de Bolsa de Valores de 1934 y las reglas relacionadas en virtud de esta.
Sin admitir ni negar las conclusiones de la SEC, cada empresa acordó cesar y desistir de futuras violaciones de las disposiciones cobradas y pagar las sanciones descritas anteriormente.
Cada empresa cooperó durante la investigación, incluso proporcionando voluntariamente análisis o presentaciones que ayudaron a acelerar la investigación del personal y tomando medidas voluntariamente para mejorar sus controles de ciberseguridad.
La investigación de la SEC que involucra a las cuatro empresas fue realizada por Arsen Ablaev y Michael Baker de Crypto Assets and Cyber Unit (CACU) y David D’Addio en la Oficina Regional de Boston. Fue supervisado por Amy Flaherty Hartman y Tenreiro, de la CACU; y Kathryn A. Pyszka, de la Oficina Regional de Chicago.