Menkul Kıymetler ve Borsa Komisyonu, Perşembe günü Blackbaud ile Güney Carolina merkezli yazılım şirketinin 13.000 müşteriyi etkileyen 2020 fidye yazılımı saldırısıyla ilgili açıklamalarda düzenleyici başvurular yoluyla yatırımcıları yanılttığı suçlamaları üzerine bir anlaşmaya vardığını duyurdu.
SEC’e göre Blackbaud, basın açıklamalarında ve düzenleyici belgelerde saldırı hakkında yanıltıcı açıklamalar yapmakla ilgili suçlamaları karşılamak için 3 milyon dolar ödemeyi kabul etti.
Temmuz 2020’de şirket, tehdit aktörlerinin bağışçı banka hesap bilgilerine veya sosyal güvenlik numaralarına erişmediğini belirtti. SEC’e göre, günler sonra Blackbaud çalışanları hassas verilerin çalındığını keşfetti, ancak bu bilgileri üst yönetime iletmedi.
Sonuç olarak, Ağustos 2020’deki 10-Q dosyalamasında şirket, SEC’e göre bu tür verilerin çalınma riskinin yalnızca varsayımsal olduğunu söyledi.
“Emirin tespit ettiği üzere, Blackbaud, personelinin saldırıyla ilgili daha önceki basın açıklamalarının hatalı olduğunu öğrenmesine rağmen, bir fidye yazılımı saldırısının tüm etkisini açıklamadı.” SEC Uygulama Bölümü Kripto Varlıkları ve Siber Birimi başkanı David Hirsch duyuruda şunları söyledi:. “Halka açık şirketler, yatırımcılarına doğru ve zamanında maddi bilgi sağlamakla yükümlüdür.”
Hirsch, “Blackbaud bunu başaramadı,” dedi.
Şirket daha sonra Eylül 2020’de yanıltıcı bilgileri şu şekilde temizlemeye çalıştı: 8-K dosyalamada onaylama şifrelenmemiş banka hesabı bilgilerinin ve sosyal güvenlik numaralarının aslında bilgisayar korsanları tarafından çalınmış olabileceği.
CFO Tony Boor, Cybersecurity Dive’a yaptığı açıklamada, “Blackbaud, bu konuyu SEC ile çözmekten memnuniyet duyuyor ve şirket raporlama ve açıklama politikalarını sürekli olarak geliştirirken komisyonun işbirliğini ve yapıcı geri bildirimini takdir ediyor.” “Blackbaud, müşterileri ve tüketicileri korumak ve sürekli değişen bir tehdit ortamında siber saldırı riskini en aza indirmek için siber güvenlik programını güçlendirmeye devam ediyor.”
Blackbaud o zamandan beri siber güvenlik politikalarını ve prosedürlerini güçlendirmek için olay müdahalesini, yama uygulamalarını ve sızma testlerini güçlendirme dahil olmak üzere bir dizi yönetişim değişikliği yaptı.
işe alınan şirket Chuck Miller, Nisan 2022’de yeni CISO’su olacak ve aylar sonra, üst düzey siber uzmanlığını ve gözetimini desteklemek için yönetim kuruluna United Airlines CISO Deneen DeFiore’u ekledi.
Karabaud muhasebe, bağış toplama, sosyal yönetişim ve diğer amaçlara yardımcı olmak için okullara, sağlık kuruluşlarına ve diğer kar amacı gütmeyen gruplara bulut tabanlı yazılım sağlar.
Federal Ticaret Komisyonu ile Vermont ve Indiana Eyalet Başsavcısı soruşturmaya yardımcı oldu.