美国证券交易委员会(SEC)指控Unisys、Avaya、Check Point和Mimecast四家公司在与SolarWinds供应链攻击相关的公开披露中存在误导行为,并因其淡化攻击影响而对其处以罚款。SEC对Unisys提出了额外指控,并处以400万美元的民事罚款;Avaya、Check Point和Mimecast分别被处以100万美元、99.5万美元和99万美元的民事罚款以了结指控。这些指控源于美国政府对可能受到SolarWinds Orion软件供应链攻击影响的上市公司进行的调查。
SEC发布的新闻稿称:“根据SEC的命令,Unisys、Avaya和Check Point于2020年获悉,Mimecast于2021年获悉,SolarWinds Orion黑客事件背后的威胁行为者很可能未经授权访问了他们的系统,但每家公司都在其公开披露中轻描淡写地描述了其网络安全事件。” SEC对Unisys的命令发现,该公司将其网络安全事件的风险描述为假设性的,尽管该公司知道自己经历了两次与SolarWinds相关的入侵事件,涉及数千兆字节数据的泄露。Unisys隐瞒了两起安全漏洞,Avaya淡化了文件访问事件,Check Point在描述事件影响时使用了含糊不清的语言,而Mimecast则淡化了被盗数据的性质。
这四家公司同意停止未来的违规行为,支付罚款,并改进网络安全控制措施,但并未承认有罪。SEC证实,这些组织为调查提供了支持。“淡化重大网络安全漏洞的程度是一个糟糕的策略,”加密资产和网络部门代理主管Jorge G. Tenreiro表示。“在这两个案例中,当公司知道已预警的风险已经实现时,相关的网络安全风险因素却被假设性或笼统地描述。联邦证券法禁止半真半假的说法,风险因素披露中的陈述也不例外。”
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...