A SEC (Comissão de Valores Mobiliários dos EUA) multou quatro empresas — Unisys, Avaya, Check Point e Mimecast — por divulgarem informações enganosas sobre o impacto do ataque à cadeia de suprimentos da SolarWinds Orion. As investigações revelaram que as organizações minimizaram os danos causados pela violação, levando a acusações de declarações públicas incorretas sobre a gravidade do incidente.
Empresas são acusadas de minimizar o impacto do ciberataque e enfrentam multas milionárias
A Unisys foi penalizada com uma multa de US$ 4 milhões, enquanto a Avaya recebeu uma penalidade de US$ 1 milhão (cerca de R$ 5,7 mi). Já a Check Point e a Mimecast foram multadas em US$ 995 mil e US$ 990 mil, respectivamente. Essas multas fazem parte de uma resolução das acusações sem que as empresas admitissem culpa, mas se comprometeram a melhorar seus controles de segurança cibernética.
De acordo com a SEC, as empresas afetadas descobriram as invasões em momentos diferentes — Unisys, Avaya e Check Point identificaram o problema em 2020, enquanto a Mimecast o detectou em 2021. No entanto, todas elas falharam ao minimizar a gravidade do incidente em suas divulgações públicas, omitindo detalhes importantes ou utilizando uma linguagem imprecisa.
Notícias Relacionadas
A Unisys, por exemplo, sabia que seus sistemas haviam sido comprometidos em dois momentos distintos, resultando na exfiltração de grandes volumes de dados, mas tratou o risco cibernético como “hipotético”. Da mesma forma, a Avaya minimizou o acesso não autorizado a seus arquivos, e a Check Point usou termos vagos para descrever o impacto do ataque. Já a Mimecast diminuiu a importância dos dados roubados em seus relatórios públicos.
Todas as quatro empresas aceitaram encerrar as violações e cooperaram com a investigação, buscando fortalecer suas políticas de segurança para evitar futuros problemas. O comunicado da SEC destaca a importância da transparência em situações de risco cibernético, reforçando que as leis federais de valores mobiliários proíbem “meias-verdades”, especialmente em divulgações que podem impactar o mercado.
