La U.S. Securities and Exchange Commission (SEC) ha recentemente accusato quattro aziende pubbliche per aver divulgato informazioni fuorvianti riguardanti un attacco informatico di vasta portata legato all'hack di SolarWinds avvenuto nel 2020. Le aziende coinvolte sono Avaya, Check Point, Mimecast e Unisys, le quali sono state penalizzate per il modo in cui hanno gestito il processo di divulgazione dopo l'incidente con il software SolarWinds Orion, minimizzando l'entità della violazione e violando così il Securities Act del 1933, il Securities Exchange Act del 1934 e le relative normative.

Nello specifico, Avaya è stata multata di 1 milione di dollari, Check Point di 995.000 dollari, Mimecast di 990.000 dollari, mentre Unisys dovrà pagare 4 milioni di dollari per risolvere le accuse. Inoltre, Unisys è stata accusata di violazioni relative ai controlli e alle procedure di divulgazione. Sanjay Wadhwa, direttore ad interim della Divisione di Enforcement della SEC, ha sottolineato l'importanza per le aziende pubbliche di non fornire informazioni fuorvianti sugli incidenti di sicurezza informatica, evitando così di svantaggiare ulteriormente gli azionisti o altri membri del pubblico investitore.

Secondo la SEC, tutte e quattro le aziende erano a conoscenza del fatto che gli attori russi dietro l'hack di SolarWinds Orion avevano avuto accesso non autorizzato ai loro sistemi, ma hanno scelto di minimizzare l'entità dell'incidente nelle loro comunicazioni pubbliche. Unisys, in particolare, ha descritto i rischi derivanti dall'intrusione come "ipotetici", nonostante fosse al corrente che gli eventi di sicurezza informatica avevano portato all'esfiltrazione di oltre 33 GB di dati in due diverse occasioni.

L'indagine ha anche rilevato che Avaya ha dichiarato che l'attore della minaccia aveva avuto accesso a un "numero limitato" di messaggi email dell'azienda, mentre in realtà era a conoscenza di almeno 145 file a cui gli hacker avevano avuto accesso nel suo ambiente cloud. Nel caso di Check Point e Mimecast, la SEC ha criticato il modo in cui hanno descritto i rischi della violazione in termini generici, con Mimecast che ha omesso di divulgare la natura del codice esfiltrato dall'attore della minaccia e il numero di credenziali crittografate a cui si era avuto accesso.

Jorge G. Tenreiro, capo ad interim della Crypto Assets and Cyber Unit, ha sottolineato come le leggi federali sui titoli proibiscano le mezze verità, senza eccezioni per le dichiarazioni nei fattori di rischio. In due di questi casi, i fattori di rischio relativi alla sicurezza informatica sono stati presentati in termini ipotetici o generici, nonostante le aziende sapessero che i rischi avevano già avuto luogo.