Cuatro empresas de tecnología llegan a un acuerdo con la SEC por las divulgaciones de SolarWinds • The Register

Cuatro empresas tecnológicas de alto perfil llegaron a un acuerdo con la Comisión de Bolsa y Valores para pagar millones de dólares en multas por engañar a los inversores sobre su exposición al hackeo de SolarWinds de 2020.

Equipo de tecnología de comunicaciones avayatienda israelí de ciberseguridad Punto de controly el negocio de la seguridad del correo electrónico mimecast han acordado desembolsar más de 1 millón de dólares, 995.000 dólares y 990.000 dólares, respectivamente, por «hacer revelaciones materialmente engañosas sobre riesgos e intrusiones de ciberseguridad», dijo la SEC. dicho hoy.

Una cuarta empresa, una empresa de servicios de TI. Unisystambién fue acusado y llegó a un acuerdo con la SEC; Unisys también enfrentó cargos de control de divulgación y violaciones de procedimientos, lo que elevó su multa a 4 millones de dólares.

«Corresponde a [companies] no victimizar aún más a sus accionistas u otros miembros del público inversor proporcionando revelaciones engañosas sobre los incidentes de ciberseguridad que han encontrado», dijo Sanjay Wadhwa, director interino de cumplimiento de la SEC.

Con la excepción de Mimecast, que no se dio cuenta de que se había visto involucrada en el incidente hasta 2021, las demás empresas sabían que el Actor de amenazas ruso OMS se deslizó por una puerta trasera en el software de monitoreo de red Orion de SolarWinds logró comprometer sus redes en 2020, el mismo año del ataque. A pesar de ese conocimiento, «cada uno minimizó negligentemente su incidente de ciberseguridad en sus divulgaciones públicas», dijo la SEC.

Avaya supuestamente (ninguna de las compañías admitió o negó las acusaciones en sus acuerdos) dijo a los accionistas que el compromiso solo provocó el robo de algunos correos electrónicos, sabiendo que también se había accedido a «al menos 145 archivos en su entorno de intercambio de archivos en la nube». mientras que Mimecast parece no haber revelado la naturaleza del código robado o la cantidad de credenciales cifradas robadas de la empresa.

Check Point supuestamente sabía lo sucedido pero sólo describió el asunto «en términos genéricos». Mientras tanto, Unisys «describió sus riesgos derivados de eventos de ciberseguridad como hipotéticos a pesar de saber que había experimentado dos intrusiones relacionadas con SolarWinds que involucraron la exfiltración de gigabytes de datos», alegó la SEC.

Las empresas responden

«Nos complace haber resuelto con la SEC este asunto de divulgación relacionado con problemas históricos de ciberseguridad que se remontan a finales de 2020, y que la agencia reconoció la cooperación voluntaria de Avaya y que tomamos ciertas medidas para mejorar los controles de ciberseguridad de la compañía», dijo un portavoz de Avaya. El Registroadoptando un tono conciliador. «Avaya continúa enfocándose en fortalecer su programa de ciberseguridad, tanto en el diseño y suministro de nuestros productos y servicios a nuestros valiosos clientes, como en nuestras operaciones internas».

Check Point no estaba tan dispuesto a admitir que necesitaba hacerlo mejor.

«Como se menciona en la orden de la SEC, Check Point investigó el incidente de SolarWinds y no encontró evidencia de que se haya accedido a ningún dato, código u otra información confidencial del cliente», nos dijo la firma de seguridad. «Sin embargo, Check Point decidió que cooperar y resolver la disputa con la SEC era lo mejor para sus intereses y permite a la empresa mantener su enfoque en ayudar a sus clientes a defenderse contra los ciberataques en todo el mundo».

Mientras que la SEC orden [PDF] (los pedidos para las otras tres empresas también están disponibles en la SEC) en Check Point no indica que los datos del cliente hayan sido robados, sí afirma que dos de los servidores de la empresa se vieron comprometidos, lo que provocó el acceso a dos cuentas corporativas, «actividad no autorizada en computadoras afectadas y sus redes», aviso de un proveedor externo sobre el acceso en el entorno de Check Point y otros signos de compromiso.

La SEC dijo que Check Point le envió informes que «prácticamente no cambiaron con respecto a las mismas divulgaciones en presentaciones públicas anteriores de Check Point» a pesar del conocimiento del compromiso de SolarWinds, de ahí la multa que no tiene nada que ver con el robo de información del consumidor.

Unisys nos dirigió a una nueva SEC presentación hizo hoy que afirma que decidió pagar la multa en el mejor interés de la empresa y los accionistas, pero se negó a hacer una declaración adicional.

Mimecast nos dijo que, si bien ya no es una empresa que cotiza en bolsa y no cree que haya hecho nada malo, aun así cooperó plenamente con la SEC y «aprovechó la oportunidad para mejorar nuestra resiliencia», dijo un portavoz.

La SEC se negó a hacer comentarios más allá de su comunicado de prensa.

Mientras tanto, que esto sirva de recordatorio para cualquier empresa pública que esté considerando no informar de ese incidente de ciberseguridad: alguien podría venir a auditar su informe, incluso años después, así que no omita nada. ®