本周早些时候,美国证券交易委员会指控 Avaya 在与 2020 年 SolarWinds 黑客事件有关的事件中进行了误导性公开披露。
Unisys、Check Point Software Technologies 和 Mimecast 也受到了罚款。
事实上,美国证券交易委员会已对 Unisys 处以 400 万美元的民事罚款,对 Avaya 处以 100 万美元的民事罚款,对 Check Point 处以 99.5 万美元的民事罚款,对 Mimecast 处以 99 万美元的民事罚款——每家公司都同意支付这些费用。
美国证券交易委员会执法部代理主任 Sanjay Wadhwa 解释说,美国证券交易委员会的行动反映出“尽管上市公司可能成为网络攻击的目标,但它们有责任不对其所遇到的网络安全事件提供误导性披露,从而进一步伤害其股东或其他投资公众。”
Wadhwa 还补充道:
在此,美国证券交易委员会的命令发现这些公司对所涉事件提供了误导性披露,导致投资者对事件的真实范围一无所知。
违规行为的根源此次漏洞源于 SolarWinds 的 Orion 软件的安全漏洞以及各公司利用的其他相关平台活动。
指控指出,Avaya 与 Check Point 和 Unisys 一起在 2020 年发现了安全威胁。与此同时,Mimecast 在 2021 年发现了这些漏洞。
尽管每家公司都将 SolarWinds Orion 黑客事件公之于众,但 SEC 的罚款却与这些公司在公开场合疏忽大意地淡化黑客攻击的规模有关。
加密资产和网络部门代理负责人 Jorge G. Tenreiro补充道:
淡化重大网络安全漏洞的严重程度是一种糟糕的策略。在两起案件中,相关网络安全风险因素被假设或笼统地描述,而公司知道警告的风险已经成真。联邦证券法禁止半真半假的陈述,风险因素披露中的陈述也不例外。
例如,指控称,尽管有“数 GB 的数据”泄露,但 Unisy 仍将网络安全漏洞描述为“假设的”。
此外,美国证券交易委员会表示,Unisys 对攻击的误导性公开承认源于“披露控制不足”。
另一方面,SEC 表示,Avaya 向其客户解释说,尽管大约有 145 个云文件被泄露,但只有“有限数量”的电子邮件被泄露。
Avaya 在接受 NJBIZ 采访时解释了自己的情况,并补充道:
我们很高兴与美国证券交易委员会解决了这一与可追溯到 2020 年底的历史网络安全问题相关的披露问题,并且该机构认可了 Avaya 的自愿合作,我们采取了某些措施来加强公司的网络安全控制。Avaya 继续专注于加强其网络安全计划,无论是在设计和向我们尊贵的客户提供我们的产品和服务方面,还是在我们的内部运营中。
此外,Check Point 使用“通用术语”淡化了黑客攻击的影响,而 Mimecast 则通过未披露泄露代码的性质和泄露的加密凭证的数量来尽量减少威胁的规模。
原文:https://www.cxtoday.com/contact-centre/unisys-avaya-check-point-mimecast-fined-over-security-breaches/
