Суд США оштрафовал четыре компании за сокрытие правды о взломе Solar Winds
25/10/24
Комиссия по ценным бумагам и биржам США (SEC) оштрафовала четыре компании за предоставление вводящей в заблуждение информации, связанной с утечкой данных в 2019 году, вызванной атакой на SolarWinds.
В список нарушителей вошли две ИБ-компании — Check Point (штраф $995 000) и Mimecast (штраф $990 000), а также IT-компании Unisys (штраф $4 млн.) и Avaya ($1 млн.). Компании стали жертвами атаки на SolarWinds, которая затронула множество организаций, в том числе государственные структуры, передаёт Securitylab.
По утверждению ведомства, выявленные нарушения заключались в том, что указанные фирмы предоставили неполные сведения о случившихся инцидентах, оставив инвесторов в неведении относительно истинных последствий атак. В SEC подчеркнули, что компании обязаны быть честными перед акционерами и инвесторами, предоставляя полную информацию о кибератаках, с которыми они столкнулись.
Каждая из компаний допустила разные нарушения:
- Avaya сообщила, что злоумышленники получили доступ к ограниченному количеству электронных писем, но не упомянула, что были скомпрометированы «минимум 145 файлов» в облачном файловом хранилище компании.
- Check Point описала риски, связанные со взломами, в общих фразах, избегая конкретики.
- Mimecast занизила масштаб инцидента, не раскрыв детали о похищенном коде и количестве украденных зашифрованных данных.
- Unisys описала угрозы от кибератак как гипотетические, хотя сама дважды пострадала от связанных с SolarWinds нарушений.
Все компании сотрудничали с SEC в ходе расследования и согласились на выплату штрафов, а также на прекращение дальнейших нарушений. При этом компании не признали свою вину, но и не оспорили выводы SEC.
Представитель Avaya отметил, что компания добровольно сотрудничала с SEC и предприняла шаги по улучшению кибербезопасности. Check Point заявила, что не обнаружила доказательств утечки данных клиентов, однако решила урегулировать спор с SEC в своих интересах. В Mimecast также подчеркнули, что предприняли активные меры, проинформировав клиентов и партнёров, даже тех, кто не был затронут атакой.
SEC уже несколько лет ужесточает требования к публичным компаниям в части раскрытия информации о кибератаках и их последствиях для бизнеса и клиентов. Так, в мае SEC ужесточила контроль над утечками данных. Комиссия ввела новые правила, согласно которым финансовые учреждения должны сообщать об утечках данных в течение 30 дней с момента их обнаружения.
В одном из случаев, по обвинениям SEC американской компании Intercontinental Exchange (ICE) назначили штраф в размере $10 миллионов за нарушения, связанные с несвоевременным уведомлением о взломе системы безопасности.