Komisi Sekuritas dan Bursa (SEC) diumumkan pada hari Selasa bahwa mereka mendakwa dan menjatuhkan hukuman pada empat perusahaan karena membuat pengungkapan yang menyesatkan terkait dengan pelanggaran data SolarWinds tahun 2019.
Empat perusahaan yang didakwa adalah perusahaan keamanan siber Check Point, yang akan membayar denda perdata sebesar $995.000, dan Mimecast, yang akan membayar $990.000; dan perusahaan teknologi Unisys, yang akan membayar $4 juta, dan Avaya, yang akan membayar $1 juta.
Semua perusahaan ini menjadi korban peretasan yang menimpa SolarWinds, yang berdampak pada beberapa perusahaan lain dan lembaga pemerintah yang menggunakan perangkat lunak SolarWinds. Menurut SEC, setiap perusahaan melakukan pelanggaran berbeda yang “secara lalai” meremehkan dan meminimalkan kerugian akibat pelanggaran tersebut.
“Meskipun perusahaan publik mungkin menjadi target serangan siber, mereka wajib untuk tidak menjadikan pemegang saham atau anggota masyarakat investor lainnya sebagai korban dengan memberikan pengungkapan yang menyesatkan tentang insiden keamanan siber yang mereka temui,” kata Sanjay Wadhwa, penjabat direktur SEC. Divisi Penegakan. “Di sini, perintah SEC menemukan bahwa perusahaan-perusahaan ini memberikan pengungkapan yang menyesatkan tentang insiden yang dipermasalahkan, sehingga membuat investor tidak mengetahui cakupan sebenarnya dari insiden tersebut.”
Menurut SEC, setiap perusahaan melakukan pelanggaran yang berbeda-beda. Avaya mengatakan para peretas mengakses “sejumlah kecil” email perusahaan tetapi tidak mengatakan bahwa para peretas juga mengakses “setidaknya 145 file di lingkungan berbagi file cloud.” Meskipun mengetahui tentang pelanggaran tersebut, Check Point “menggambarkan intrusi dan risiko dunia maya” dalam “istilah umum.” Mimecast “meminimalkan serangan dengan tidak mengungkapkan” kode apa dan jumlah kredensial terenkripsi perusahaan yang dicuri oleh peretas. Dan Unisys “menggambarkan risiko dari peristiwa keamanan siber sebagai risiko hipotetis” meskipun Unisys terkena dua pelanggaran terkait SolarWinds.
SEC mengatakan bahwa semua perusahaan berkolaborasi dalam penyelidikannya dan setuju untuk membayar denda dan “menghentikan dan menghentikan pelanggaran ketentuan yang dibebankan di masa depan,” sementara juga tidak “mengakui atau menyangkal” temuan SEC.
Juru bicara Avaya Julianne Embry mengatakan kepada TechCrunch bahwa SEC “mengakui kerja sama sukarela Avaya dan kami mengambil langkah-langkah tertentu untuk meningkatkan kontrol keamanan siber perusahaan.”
Juru bicara Check Point Gil Messing mengatakan kepada TechCrunch bahwa “Check Point menyelidiki insiden SolarWinds dan tidak menemukan bukti bahwa data pelanggan, kode, atau informasi sensitif lainnya telah diakses. Namun demikian, Check Point memutuskan bahwa bekerja sama dan menyelesaikan perselisihan dengan SEC adalah demi kepentingan terbaiknya.”
Juru bicara Mimecast Timothy Hamilton mengatakan kepada TechCrunch bahwa perusahaan “membuat pengungkapan ekstensif dan terlibat dengan pelanggan dan mitra kami secara proaktif dan transparan, bahkan mereka yang tidak terpengaruh,” sebagai tanggapan terhadap peretasan SolarWinds.
“Kami yakin bahwa kami telah mematuhi kewajiban pengungkapan kami berdasarkan persyaratan peraturan pada saat itu,” kata Hamilton.
Ketika dihubungi oleh TechCrunch untuk memberikan komentar, juru bicara Unisys Jamie Baid menolak berkomentar dan merujuk pada perusahaan pengarsipan 8-K diterbitkan pada hari Selasa. Dalam dokumen tersebut, Unisys mengatakan telah mencapai penyelesaian dengan SEC yang menyelesaikan penyelidikan regulator terhadap perusahaan tersebut.
Dalam beberapa tahun terakhir, SEC telah memberlakukan serangkaian kewajiban baru pada perusahaan publik dalam hal pengungkapan pelanggaran data, dan dampaknya terhadap perusahaan serta pelanggan dan penggunanya.
