SEC, SolarWinds veri ihlaliyle ilgili cezalandırdığı şirketlerin veri ihlalinin boyutlarını küçümsediğini ve yatırımcıları yanıltıcı açıklamalar yaptığını belirtti.
Check Point, 995 bin dolar, Mimecast 990 bin dolar, Unisys 4 milyon dolar ve Avaya 1 milyon dolar para cezası ödeyecek. SEC, her şirketin ihlallerin zararlarını küçümsediğini ve bunun yatırımcılara doğru bilgi vermemek anlamına geldiğini söyledi.
SEC’nin Yaptırım Bölümü Direktör Vekili Sanjay Wadhwa, yaptığı açıklamada, siber saldırıya uğrayan şirketlerin yatırımcılarına yanıltıcı bilgiler vererek onları mağdur etmemeleri gerektiğini vurguladı.
Wadhwa, “SEC’in bulguları, bu olaylarda şirketlerin ilgili olaylarla ilgili yanıltıcı açıklamalar yaptığını ve yatırımcıları olayların gerçek boyutundan habersiz bıraktığını ortaya koydu.” dedi.
Şirketlerin ihlal sırasındaki yanlış bilgilendirmeleri farklı şekillerde oldu. Avaya, bilgisayar korsanlarının “sınırlı sayıda” e-postaya eriştiğini söyledi, ancak korsanların “bulut dosya paylaşım ortamında en az 145 dosyaya” eriştiğinden bahsetmedi. Check Point ise siber saldırıları ve riskleri “genel terimlerle” açıkladı. Mimecast, korsanların çaldığı kod ve şifrelenmiş kimlik bilgileri hakkında eksik bilgi verdi. Unisys ise iki SolarWinds ile ilgili ihlal yaşamasına rağmen siber güvenlik risklerini “varsayımsal” olarak tanımladı.
SEC, bu şirketlerin yapılan soruşturmada işbirliği yaptığını ve belirtilen suçlamalarla ilgili gelecekteki ihlallerden kaçınma taahhüdünde bulunduklarını belirtti. Şirketler, bulgular hakkında ne kabul etti ne de reddetti, ancak cezaları ödemeyi kabul etti.
Şirket sözcüleri, SEC ile işbirliği yaptıklarını belirtti. Avaya’nın sözcüsü, şirketin siber güvenlik kontrollerini geliştirmek için adımlar attığını, Check Point ise olayda müşteri verilerine erişilmediğini ifade etti. Mimecast ise müşterilerine şeffaf davrandığını ve sorumluluklarını yerine getirdiğini söyledi. Unisys ise konu hakkında yorum yapmadı ve SEC ile yapılan anlaşmanın bir parçası olarak 8-K belgesini yayımladığını belirtti.
Son yıllarda SEC, halka açık şirketlere veri ihlallerini bildirme ve bu ihlallerin etkilerini şeffaf bir şekilde açıklama konusunda daha katı kurallar getirmiştir.