VietNetwork.Vn

Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) đã buộc tội bốn công ty đại chúng hiện tại và trước đây vì đã "tiết lộ thông tin gây hiểu lầm nghiêm trọng" liên quan đến vụ tấn công mạng quy mô lớn bắt nguồn từ vụ hack SolarWinds năm 2020.

SEC cho biết các công ty – Avaya, Check Point, Mimecast và Unisys – đang bị phạt vì cách họ xử lý quy trình công bố thông tin sau sự cố chuỗi cung ứng phần mềm SolarWinds Orion và hạ thấp mức độ vi phạm, do đó vi phạm Đạo luật Chứng khoán năm 1933, Đạo luật Giao dịch Chứng khoán năm 1934 và các quy định liên quan theo đó.


Để đạt được mục đích đó, Avaya sẽ phải nộp phạt 1 triệu đô la, Check Point sẽ phải nộp 995.000 đô la, Mimecast sẽ phải nộp 990.000 đô la và Unisys sẽ phải nộp 4 triệu đô la để giải quyết các cáo buộc. Ngoài ra, SEC đã buộc tội Unisys vi phạm các quy trình và kiểm soát tiết lộ.

Sanjay Wadhwa, quyền giám đốc Ban thực thi pháp luật của SEC, cho biết : "Mặc dù các công ty đại chúng có thể trở thành mục tiêu của các cuộc tấn công mạng, nhưng họ có trách nhiệm không tiếp tục gây tổn hại cho các cổ đông hoặc các thành viên khác của công chúng đầu tư bằng cách cung cấp thông tin sai lệch về các sự cố an ninh mạng mà họ gặp phải".

"Ở đây, lệnh của SEC phát hiện ra rằng các công ty này đã cung cấp thông tin sai lệch về các sự cố đang được đề cập, khiến các nhà đầu tư không biết được quy mô thực sự của các sự cố."

Theo SEC, cả bốn công ty đều biết rằng tin tặc người Nga đứng sau vụ tấn công SolarWinds Orion đã truy cập vào hệ thống của họ một cách trái phép, nhưng đã chọn cách giảm thiểu phạm vi của sự cố trong thông báo công khai.

Unisys, cơ quan liên bang độc lập cho biết, đã chọn cách mô tả những rủi ro phát sinh do vụ xâm nhập là "giả định" mặc dù biết rằng các sự kiện an ninh mạng đã dẫn đến việc rò rỉ hơn 33 GB dữ liệu trong hai lần khác nhau.

Cuộc điều tra cũng phát hiện ra rằng Avaya đã tuyên bố rằng kẻ tấn công đã truy cập vào "một số lượng hạn chế" các email của công ty, trong khi trên thực tế, công ty biết rằng những kẻ tấn công cũng đã truy cập vào ít nhất 145 tệp trong môi trường đám mây của công ty.

Đối với Check Point và Mimecast, SEC đã có vấn đề với cách họ mô tả rủi ro từ vụ vi phạm một cách tổng quát, trong đó Mimecast cũng không tiết lộ bản chất của mã mà kẻ tấn công đã đánh cắp và số lượng thông tin xác thực được mã hóa mà kẻ tấn công đã truy cập.

"Trong hai trường hợp này, các yếu tố rủi ro an ninh mạng có liên quan đã được đưa ra một cách giả định hoặc chung chung khi các công ty biết rằng cảnh báo rủi ro đã xuất hiện", Jorge G. Tenreiro, quyền giám đốc của Đơn vị Tài sản tiền điện tử và An ninh mạng, cho biết. "Luật chứng khoán liên bang cấm nói nửa sự thật và không có ngoại lệ đối với các tuyên bố trong tiết lộ yếu tố rủi ro".