Avaya因2020年SolarWinds黑客事件被罰款100萬美元

CTI論壇（ctiforum.com）(編譯/老秦)：本周早些時候，美國證券交易委員會指控Avaya誤導公眾披露與臭名昭著的2020年SolarWinds黑客有關的信息。

Unisys、Check Point Software Technologies和Mimecast也收到了罰款。

事實上，美國證券交易委員會已對Unisys處以400萬美元的民事罰款，對Avaya處以100萬美元的刑事罰款，對Check Point處以995000美元的刑事處罰，對Mimecast處以990000美元的民事處罰，每家公司都同意支付這些費用。

美國證券交易委員會執法司代理司長Sanjay Wadhwa解釋説，美國證券交易委員的行動反映了「雖然上市公司可能成為網絡攻擊的目標，但他們有責任不通過提供有關他們遇到的網絡安全事件的誤導性披露來進一步傷害股東或其他投資公眾。」

Wadhwa還補充道：

在這里，美國證券交易委員會的命令發現，這些公司對爭議事件提供了誤導性的披露，使投資者對事件的真實範圍一無所知。

違約的起源

此次數據泄露源於SolarWinds的Orion軟件和每家公司利用的其他相關平臺活動的安全漏洞。

指控指出，Avaya與Check Point和Unisys一起在2020年發現了安全威脅。與此同時，Mimecast在2021年發現了這些漏洞。

儘管每家公司都將SolarWinds Orion黑客事件公之於衆，但美國證券交易委員會的罰款，即與這些公司如何疏忽地公開最小化違規規模有關。

加密資產和網絡部門代理主管Jorge G.Tenreiro補充道：

淡化重大網絡安全漏洞的程度是一個糟糕的策略。在其中兩種情況下，當公司知道風險警告已經實現時，相關的網絡安全風險因素是假設性的或一般性的。聯邦證券法禁止半真半假，風險因素披露中的陳述也不例外。

例如，指控稱，Unisys將網絡安全漏洞描述為「假設」，儘管「千兆字節的數據」被泄露。

此外，根據美國證券交易委員會的説法，Unisys對攻擊的誤導性公開承認源於「披露控制不足」。

另一方面，美國證券交易委員會表示，Avaya向其客户解釋説，儘管大約有145個雲文件被泄露，但只有「有限數量」的電子郵件被泄露。

在接受NJBIZ採訪時，Avaya補充道：

我們很高興與美國證券交易委員會解決了這一與可追溯到2020年底的歷史網絡安全問題有關的披露問題，該機構認可了Avaya的自願合作，我們採取了某些措施來加強該公司的網絡安全控制。Avaya繼續專注於加強其網絡安全計劃，包括為我們尊貴的客户設計和提供我們的產品和服務，以及我們的內部運營。

此外，Check Point用「通用術語」淡化了黑客攻擊，Mimecast沒有披露泄露代碼的性質和泄露的加密憑據的數量，從而將威脅的規模降到了最低。

作者：Rory Greener