$7 млн за молчание: IT-гиганты наказаны за сокрытие правды о SolarWinds

Комиссия по ценным бумагам и биржам США ( SEC ) оштрафовала четыре компании за предоставление вводящей в заблуждение информации, связанной с утечкой данных в 2019 году, вызванной атакой на SolarWinds.

В список нарушителей вошли две ИБ-компании — Check Point (штраф $995 000) и Mimecast (штраф $990 000), а также IT-компании Unisys (штраф $4 млн.) и Avaya ($1 млн.). Компании стали жертвами атаки на SolarWinds, которая затронула множество организаций, в том числе государственные структуры.

По утверждению ведомства, выявленные нарушения заключались в том, что указанные фирмы предоставили неполные сведения о случившихся инцидентах, оставив инвесторов в неведении относительно истинных последствий атак. В SEC подчеркнули, что компании обязаны быть честными перед акционерами и инвесторами, предоставляя полную информацию о кибератаках, с которыми они столкнулись.

Каждая из компаний допустила разные нарушения:

• Avaya сообщила, что злоумышленники получили доступ к ограниченному количеству электронных писем, но не упомянула, что были скомпрометированы «минимум 145 файлов» в облачном файловом хранилище компании.
• Check Point описала риски, связанные со взломами, в общих фразах, избегая конкретики.
• Mimecast занизила масштаб инцидента, не раскрыв детали о похищенном коде и количестве украденных зашифрованных данных.
• Unisys описала угрозы от кибератак как гипотетические, хотя сама дважды пострадала от связанных с SolarWinds нарушений.

Все компании сотрудничали с SEC в ходе расследования и согласились на выплату штрафов, а также на прекращение дальнейших нарушений. При этом компании не признали свою вину, но и не оспорили выводы SEC.

Представитель Avaya отметил, что компания добровольно сотрудничала с SEC и предприняла шаги по улучшению кибербезопасности. Check Point заявила, что не обнаружила доказательств утечки данных клиентов, однако решила урегулировать спор с SEC в своих интересах. В Mimecast также подчеркнули, что предприняли активные меры, проинформировав клиентов и партнёров, даже тех, кто не был затронут атакой.

SEC уже несколько лет ужесточает требования к публичным компаниям в части раскрытия информации о кибератаках и их последствиях для бизнеса и клиентов. Так, в мае SEC ужесточила контроль над утечками данных. Комиссия ввела новые правила, согласно которым финансовые учреждения должны сообщать об утечках данных в течение 30 дней с момента их обнаружения.

В одном из случаев, по обвинениям SEC американской компании Intercontinental Exchange (ICE) назначили штраф в размере $10 миллионов за нарушения, связанные с несвоевременным уведомлением о взломе системы безопасности.