Komisi Sekuritas dan Bursa AS (SEC) telah mendakwa empat perusahaan publik dan mantan perusahaan publik karena membuat “pengungkapan yang menyesatkan secara material” terkait dengan serangan dunia maya berskala besar yang berasal dari peretasan SolarWinds pada tahun 2020.
SEC mengatakan perusahaan-perusahaan tersebut – Avaya, Check Point, Mimecast, dan Unisys – dikenakan sanksi atas cara mereka menangani proses pengungkapan setelah insiden rantai pasokan perangkat lunak SolarWinds Orion dan meremehkan tingkat pelanggaran, sehingga melanggar Securities Act. tahun 1933, Undang-Undang Bursa Efek tahun 1934, dan peraturan terkait di dalamnya.
Untuk itu, Avaya akan membayar denda sebesar $1 juta, Check Point akan membayar $995.000, Mimecast akan membayar $990.000, dan Unisys akan membayar $4 juta untuk menyelesaikan tuntutan tersebut. Selain itu, SEC telah mendakwa Unisys dengan pelanggaran kontrol pengungkapan dan prosedur.
“Meskipun perusahaan publik mungkin menjadi target serangan siber, mereka wajib untuk tidak menjadikan pemegang saham atau anggota masyarakat investor lainnya sebagai korban dengan memberikan pengungkapan yang menyesatkan tentang insiden keamanan siber yang mereka temui,” kata Sanjay Wadhwa, penjabat direktur SEC. Divisi Penegakan.
“Di sini, perintah SEC menemukan bahwa perusahaan-perusahaan ini memberikan pengungkapan yang menyesatkan tentang insiden yang dipermasalahkan, sehingga membuat investor tidak mengetahui cakupan sebenarnya dari insiden tersebut.”
Menurut SEC, keempat perusahaan tersebut mengetahui bahwa pelaku ancaman Rusia di balik peretasan SolarWinds Orion telah mengakses sistem mereka dengan cara yang tidak sah, tetapi memilih untuk meminimalkan cakupan insiden tersebut dalam pengungkapan publik mereka.
Unisys, badan federal independen mengatakan, memilih untuk menggambarkan risiko yang timbul akibat penyusupan sebagai “hipotetis” meskipun menyadari fakta bahwa peristiwa keamanan siber menyebabkan eksfiltrasi lebih dari 33 GB data pada dua kesempatan berbeda.
Penyelidikan juga menemukan bahwa Avaya menyatakan pelaku ancaman telah mengakses “sejumlah terbatas” pesan email perusahaan, padahal kenyataannya Avaya mengetahui bahwa penyerang juga telah mengakses setidaknya 145 file di lingkungan cloud-nya.
Sedangkan untuk Check Point dan Mimecast, SEC mempermasalahkan bagaimana mereka menggambarkan risiko pelanggaran secara garis besar, dimana SEC juga gagal mengungkapkan sifat kode yang dieksfiltrasi oleh pelaku ancaman dan jumlah kredensial terenkripsi yang diakses oleh pelaku ancaman. .
“Dalam dua kasus ini, faktor risiko keamanan siber yang relevan dibingkai secara hipotetis atau umum ketika perusahaan mengetahui peringatan risiko telah terwujud,” kata Jorge G. Tenreiro, penjabat kepala Unit Aset Kripto dan Siber. “Undang-undang sekuritas federal melarang setengah kebenaran, dan tidak ada pengecualian untuk pernyataan dalam pengungkapan faktor risiko.”
