Avaya因2020年SolarWinds黑客事件被罚款100万美元

CTI论坛（ctiforum.com）(编译/老秦)：本周早些时候，美国证券交易委员会指控Avaya误导公众披露与臭名昭著的2020年SolarWinds黑客有关的信息。

Unisys、Check Point Software Technologies和Mimecast也收到了罚款。

事实上，美国证券交易委员会已对Unisys处以400万美元的民事罚款，对Avaya处以100万美元的刑事罚款，对Check Point处以995000美元的刑事处罚，对Mimecast处以990000美元的民事处罚，每家公司都同意支付这些费用。

美国证券交易委员会执法司代理司长Sanjay Wadhwa解释说，美国证券交易委员的行动反映了“虽然上市公司可能成为网络攻击的目标，但他们有责任不通过提供有关他们遇到的网络安全事件的误导性披露来进一步伤害股东或其他投资公众。”

Wadhwa还补充道：

在这里，美国证券交易委员会的命令发现，这些公司对争议事件提供了误导性的披露，使投资者对事件的真实范围一无所知。

违约的起源

此次数据泄露源于SolarWinds的Orion软件和每家公司利用的其他相关平台活动的安全漏洞。

指控指出，Avaya与Check Point和Unisys一起在2020年发现了安全威胁。与此同时，Mimecast在2021年发现了这些漏洞。

尽管每家公司都将SolarWinds Orion黑客事件公之于众，但美国证券交易委员会的罚款，即与这些公司如何疏忽地公开最小化违规规模有关。

加密资产和网络部门代理主管Jorge G.Tenreiro补充道：

淡化重大网络安全漏洞的程度是一个糟糕的策略。在其中两种情况下，当公司知道风险警告已经实现时，相关的网络安全风险因素是假设性的或一般性的。联邦证券法禁止半真半假，风险因素披露中的陈述也不例外。

例如，指控称，Unisys将网络安全漏洞描述为“假设”，尽管“千兆字节的数据”被泄露。

此外，根据美国证券交易委员会的说法，Unisys对攻击的误导性公开承认源于“披露控制不足”。

另一方面，美国证券交易委员会表示，Avaya向其客户解释说，尽管大约有145个云文件被泄露，但只有“有限数量”的电子邮件被泄露。

在接受NJBIZ采访时，Avaya补充道：

我们很高兴与美国证券交易委员会解决了这一与可追溯到2020年底的历史网络安全问题有关的披露问题，该机构认可了Avaya的自愿合作，我们采取了某些措施来加强该公司的网络安全控制。Avaya继续专注于加强其网络安全计划，包括为我们尊贵的客户设计和提供我们的产品和服务，以及我们的内部运营。

此外，Check Point用“通用术语”淡化了黑客攻击，Mimecast没有披露泄露代码的性质和泄露的加密凭据的数量，从而将威胁的规模降到了最低。

作者：Rory Greener

海量资讯、精准解读，尽在新浪财经APP