7 מיליון דולר עבור שתיקה: ענקיות IT נענשו על כך שהסתירו את האמת על SolarWinds

לטענת המחלקה, ההפרות שזוהו כללו בכך שחברות אלו סיפקו מידע חלקי על התקריות שהתרחשו, והותירו את המשקיעים בחושך לגבי ההשלכות האמיתיות של הפיגועים. ה-SEC הדגיש כי לחברות יש חובה להיות כנה עם בעלי המניות והמשקיעים על ידי מתן מידע מלא על התקפות הסייבר שבהן הם נתקלו.

כל חברה ביצעה הפרות שונות:

• Avaya אמר כי התוקפים קיבלו גישה למספר מצומצם של מיילים, אך לא הזכיר כי "לפחות 145 קבצים" באחסון קבצי הענן של החברה נפגעו.
• צ'ק פוינט תיארה את הסיכונים הכרוכים בפריצה במונחים כלליים, תוך הימנעות מפרטים.
• Mimecast הפחיתה בהיקף האירוע, ולא חשפה פרטים על הקוד שנגנב או כמות הנתונים המוצפנים שנגנבו.
• יוניסיס תיארה את האיום ממתקפות סייבר כהיפותטיות, למרות שהיא עצמה סבלה פעמיים מהפרות הקשורות ל-SolarWinds.

כל החברות שיתפו פעולה עם החקירה של ה-SEC והסכימו לשלם קנסות ולהפסיק הפרות נוספות. יחד עם זאת, החברות לא הודו באשמתן, אך לא ערערו על ממצאי ה-SEC. דובר של Avaya ציין כי החברה שיתפה פעולה מרצון עם ה-SEC ונקטה בצעדים לשיפור אבטחת הסייבר. צ'ק פוינט אמרה כי לא מצאה ראיות להפרה של נתוני לקוחות, אך החליטה ליישב את המחלוקת עם ה-SEC למען האינטרסים שלה. Mimecast גם הדגישה כי היא נקטה באמצעים יזומים כדי ליידע לקוחות ושותפים, גם כאלה שלא נפגעו מהתקיפה.

כבר כמה שנים שה-SEC מחמירה את הדרישות לחברות ציבוריות לחשוף מידע על התקפות סייבר והשלכותיהן על עסקים ולקוחות. אז, במאי SEC שליטה מהודקת על דליפות נתונים. הנציבות הציגה כללים חדשים המחייבים מוסדות פיננסיים לדווח על פרצות מידע תוך 30 יום מרגע גילוין. באחד המקרים, לפי האשמות של SEC, החברה האמריקאית Intercontinental Exchange (ICE) הטיל קנס 10 מיליון דולר בגין הפרות הקשורות לאי הודעה בזמן על פרצת אבטחה.