La Securities and Exchange Commission (SEC) ha recentemente multato quattro aziende per aver fornito informazioni fuorvianti riguardo all'attacco informatico SolarWinds del 2019. Le società coinvolte, due delle quali operano nel settore della sicurezza informatica e due nel settore tecnologico, sono state accusate di non aver comunicato in modo trasparente l'impatto reale subito dagli attacchi, violando così le norme sulla divulgazione delle informazioni.
Tra le aziende sanzionate, Check Point e Mimecast, entrambe specializzate in sicurezza informatica, hanno accettato di pagare rispettivamente 995.000 e 990.000 dollari. Anche le società tecnologiche Unisys e Avaya sono state colpite dalle multe, con sanzioni pari a 4 milioni e 1 milione di dollari.
Queste aziende, come molte altre vittime dell'attacco SolarWinds, hanno subito intrusioni nei loro sistemi, ma secondo la SEC, non hanno fornito informazioni adeguate e chiare agli investitori riguardo alla gravità degli eventi.
Gli errori di ogni singola azienda
L'ente di regolamentazione ha sottolineato che, sebbene le società possano essere bersagli di attacchi informatici, è loro responsabilità non ingannare ulteriormente gli investitori con divulgazioni inadeguate. Sanjay Wadhwa, direttore ad interim della Divisione Enforcement della SEC, ha ribadito che le società coinvolte hanno fornito informazioni fuorvianti riguardo agli incidenti, lasciando i loro azionisti inconsapevoli della portata effettiva dei danni subiti.
Ogni azienda ha commesso errori specifici nella gestione della comunicazione. Avaya ha minimizzato l'accesso degli hacker, non rivelando che erano stati compromessi almeno 145 file nel suo sistema di condivisione dei file cloud. Check Point ha descritto i rischi cyber in termini generici, senza evidenziare dettagli cruciali. Mimecast non ha comunicato quali dati erano stati rubati, mentre Unisys ha trattato i rischi come ipotetici, nonostante fosse già stata colpita.
Le aziende hanno collaborato con la SEC durante l’indagine e accettato di pagare le sanzioni, impegnandosi a non violare ulteriormente le norme. Sebbene nessuna delle società abbia ammesso formalmente le accuse, tutte hanno accettato di risolvere la questione, cercando al contempo di migliorare i propri sistemi di sicurezza informatica per evitare simili problematiche in futuro.