Menkul Kıymetler ve Borsa Komisyonu, Salı günü dört şirketle yanıltıcı açıklamalarda bulundukları suçlamaları nedeniyle uzlaşma anlaşmalarını açıkladı. ile bağlantı SolarWinds’in 2020 eyalet bağlantılı hacklenmesi.
SEC, Unisys, Avaya Holdings, Check Point Software Technologies ve Mimecast gibi şirketlerin her birinin SolarWinds saldırısının arkasındaki tehdit aktörünün sistemlerine erişim sağladığını öğrendiğini söyledi.
SEC, dört şirketin her birinin kendi olaylarının gerçek etkisini kamuya açıklamaları yoluyla küçümsediğini iddia ediyor. Unisys ayrıca ifşa kontrollerini ve prosedürlerini ihlal etmekle de suçlandı.
Sanjay Wadhwa, “Bugünkü yaptırım eylemlerinin de yansıttığı gibi, halka açık şirketler siber saldırıların hedefi haline gelse de, karşılaştıkları siber güvenlik olayları hakkında yanıltıcı açıklamalar sunarak hissedarlarını veya yatırım yapan halkın diğer üyelerini daha fazla mağdur etmemeleri gerekiyor” dedi. SEC’in icra bölümünün direktör vekili.
Bu, SEC’in, Nobelium adlı bir tehdit grubu tarafından başlatılan ve SolarWinds’in Orion platformunun kullanıcılarını etkileyen devlet bağlantılı tedarik zinciri saldırısını nasıl ele aldıkları konusunda şirketlere ilk suçlaması değil. SEC, 2023 yılında SolarWinds ve CISO Tim Brown şirketine karşı, siber riskin gerçek doğası konusunda yatırımcıları yanılttığını iddia ederek dolandırıcılık suçlamasında bulunmuştu.
Davanın büyük kısmı atıldı, ancak davanın esasının devam etmesine izin verildi.
SEC için mesele, şirketlerin risklerini veya maruz kaldıkları riskleri nasıl tanımladıklarıdır.
Özellikle Unisys, şirket yöneticilerinin tehdit aktörünün gigabaytlarca veriyi sızdırdığını bilmesine rağmen siber riskini varsayımsal olarak nitelendirdi. SEC emrine göre. Unisys, 4 milyon dolarlık hukuki cezayı da içeren anlaşmayı bir bildiride açıkladı. SEC’e başvuru ve bunun ne suçun kabulü ne de reddi olduğunu söyledi.
Avaya, bilgisayar korsanlarının bulut dosya paylaşım ortamında 145 dosyaya erişmesine rağmen sınırlı sayıda e-postaya erişim elde ettiğini açıkladı. SEC emrine göre.
1 milyon dolarlık para cezasına çarptırılan Avaya, SEC’in gönüllü işbirliğini dikkate aldığını belirterek, sorunun çözülmesinden memnuniyet duyduğunu söyledi. Şirket, e-posta yoluyla siber kontrollerini geliştirmek için adımlar attığını söyledi.
Check Point Software, gerçek mahiyetlerini bilmesine rağmen izinsiz girişleri genel terimlerle tanımladı. siparişe göre. Kontrol Noktası Yazılımı, daha önce açıklanan Soruşturmada, anlaşmanın şirketin çıkarına en uygun olduğu belirtildi. 995.000 dolar para cezası ödemeyi kabul etti.
Şirket, e-postayla gönderdiği açıklamada SolarWinds olayını araştırdığını ve müşteri verilerine, kodlara veya diğer hassas bilgilere erişildiğine dair herhangi bir kanıt bulamadığını yineledi.
Mimecast saldırıyı biliyordu ancak bilgisayar korsanları tarafından çalınan kodun niteliğini ve çalınan şifrelenmiş kimlik bilgilerinin miktarını açıklamadı. siparişe göre. Şirket 990.000 dolar para cezası ödemeyi kabul etti.
Artık halka açık olmayan Mimecast, Ocak 2021’de olayı öğrendiğinde kapsamlı açıklamalar yaptığını ve müşteriler ve ortaklarla iletişime geçtiğini söyledi.
Şirket, e-postayla gönderilen bir açıklamada, “O dönemdeki düzenleyici gerekliliklere dayalı olarak açıklama yükümlülüklerimize uyduğumuza inanıyorduk” dedi.