Menkul Kıymetler ve Borsa Komisyonu, dört mevcut ve eski kamu şirketini (Unsys Corp., Avaya Holdings Corp., Check Point Software Technologies Ltd ve Mimecast Limited) siber güvenlik riskleri ve izinsiz girişlere ilişkin maddi yanıltıcı açıklamalar yapmakla suçladı. SEC ayrıca Unisys’i ifşa kontrolleri ve prosedür ihlalleriyle suçladı.
Dört şirkete yönelik suçlamalar, SolarWinds’in Orion yazılımının ele geçirilmesinden ve diğer ilgili faaliyetlerden potansiyel olarak etkilenen kamu şirketlerini kapsayan bir soruşturmadan kaynaklanıyor.
Şirketler, SEC’in suçlamalarını karşılamak için aşağıdaki para cezalarını ödemeyi kabul etti:
- Unisys 4 milyon dolar para cezası ödeyecek;
- Avaya. 1 milyon dolar para cezası ödeyecek;
- Check Point 995.000$ para cezası ödeyecek; Ve
- Mimecast 990.000 dolar para cezası ödeyecek.
suçlamalar
SEC’in emirlerine göre Unisys, Avaya ve Check Point 2020’de, Mimecast ise 2021’de SolarWinds Orion saldırısının ardındaki tehdit aktörünün sistemlerine izinsiz olarak eriştiğini ancak her birinin kamuya açık siber güvenlik olayını ihmalkar bir şekilde en aza indirdiğini öğrendi. açıklamalar.
SEC’in Unisys’e karşı kararı, şirketin, gigabaytlarca verinin sızmasını içeren SolarWinds ile ilgili iki izinsiz girişle karşılaştığını bilmesine rağmen, siber güvenlik olaylarından kaynaklanan riskleri varsayımsal olarak tanımladığını ortaya koyuyor. Karar ayrıca, bu maddi yanıltıcı açıklamaların kısmen Unisys’in yetersiz açıklama kontrollerinden kaynaklandığını da tespit ediyor.
SEC’in Avaya aleyhindeki emrinde, tehdit aktörünün “sınırlı sayıda [the] Avaya, tehdit aktörünün bulut dosya paylaşım ortamında en az 145 dosyaya da eriştiğini bildiğinde şirketin e-posta mesajları” dedi.
SEC’in Check Point’e karşı emri, izinsiz girişten haberdar olduğunu ancak siber saldırıları ve bunlardan kaynaklanan riskleri genel terimlerle tanımladığını ortaya koyuyor.
Mimecast’e yüklenen emir, şirketin, tehdit aktörünün sızdırdığı kodun niteliğini ve tehdit aktörünün eriştiği şifrelenmiş kimlik bilgilerinin miktarını açıklamayarak saldırıyı en aza indirdiğini ortaya koyuyor.
Kripto Varlıklar ve Siber Birim Başkan Vekili Jorge G. Tenreiro, “Maddi bir siber güvenlik ihlalinin boyutunu küçümsemek kötü bir stratejidir” dedi. “Bu vakalardan ikisinde, ilgili siber güvenlik risk faktörleri varsayımsal veya genel olarak, şirketlerin risklere ilişkin uyarıların zaten gerçekleştiğini bildiği durumlarda çerçevelendi. Federal menkul kıymetler kanunları yarı gerçekleri yasaklıyor ve risk faktörü açıklamalarında herhangi bir istisna bulunmuyor.”
SEC’in emirleri, her şirketin 1933 Menkul Kıymetler Kanunu, 1934 Menkul Kıymetler Borsası Kanunu ve bunlara bağlı ilgili kuralların belirli geçerli hükümlerini ihlal ettiğini ortaya koyuyor. Her şirket, SEC’in bulgularını kabul etmeden veya reddetmeden, yüklenen hükümlerin gelecekteki ihlallerini durdurmayı ve bundan vazgeçmeyi ve yukarıda açıklanan cezaları ödemeyi kabul etti. Her şirket, personelin soruşturmasını hızlandırmaya yardımcı olan analizleri veya sunumları gönüllü olarak sağlamak ve siber güvenlik kontrollerini geliştirmek için gönüllü olarak adımlar atmak da dahil olmak üzere, soruşturma sırasında işbirliği yaptı.
SEC daha önce SolarWinds’e ve CISO’suna şirketin siber güvenlik uygulamalarını abarttığı, bilinen siber güvenlik risklerini küçümsediği veya açıklamadığı ve ayrıca bu riskleri ele almadığı gerekçesiyle suçlamalarda bulunmuştu.