Empat perusahaan keamanan siber didenda jutaan dolar karena pengungkapan yang tidak memadai menyusul serangan siber Rusia terhadap perusahaan perangkat lunak SolarWinds pada tahun 2020.
Komisi Sekuritas dan Bursa (SEC) menjatuhkan sanksi kepada empat perusahaan – Check Point, Avaya, Unisys, dan Mimecast – karena membuat pengungkapan yang “menyesatkan secara material” terkait risiko keamanan siber dan intrusi. Pengumuman pada Selasa ini merupakan hasil dari penyelidikan selama bertahun-tahun terhadap perusahaan publik yang berpotensi terpengaruh oleh kompromi perangkat lunak Orion milik SolarWinds dan aktivitas terkait lainnya.
Unisys akan membayar denda sebesar $4 juta; Avaya akan membayar $1 juta; Check Point akan membayar $995.000; dan Mimecast akan membayar $990.000.
Sanjay Wadhwa, direktur pelaksana Divisi Penegakan SEC, mengatakan perusahaan yang menghadapi serangan siber tidak boleh “memperburuk korban bagi pemegang saham atau anggota publik lainnya dengan memberikan pengungkapan menyesatkan tentang insiden keamanan siber yang mereka hadapi.”
“Di sini, perintah SEC menemukan bahwa perusahaan-perusahaan ini memberikan pengungkapan menyesatkan tentang insiden yang terjadi, membuat investor dalam kegelapan tentang ruang lingkup sebenarnya dari insiden tersebut,” kata Wadhwa.
SEC menuduh keempat perusahaan tersebut mengetahui pada tahun 2020 dan 2021 bahwa peretas di balik serangan SolarWinds – yang oleh pemerintah AS dikaitkan dengan Dinas Intelijen Asing Rusia – juga mengakses sistem mereka, tetapi “masing-masing secara ceroboh meminimalkan insiden keamanan siber mereka dalam pengungkapan publik mereka.”
Secara khusus untuk Unisys, penyelidikan SEC menemukan bahwa perusahaan tersebut menggambarkan risiko peristiwa keamanan siber sebagai hipotesis bahkan setelah mengetahui bahwa peretas SolarWinds melanggar sistem mereka dua kali dan mencuri data dalam jumlah gigabyte.
Avaya dikritik karena mengatakan dalam pemberitahuan publik bahwa peretas memiliki akses ke “jumlah terbatas” pesan email meskipun mengetahui bahwa pelaku ancaman juga mengakses 145 file lainnya.
Check Point hanya menggambarkan insiden tersebut dalam istilah umum dan Mimecast “meminimalkan serangan dengan gagal mengungkapkan sifat kode yang diambil oleh pelaku ancaman dan jumlah kredensial terenkripsi yang diakses oleh pelaku ancaman.”
Jorge Tenreiro, kepala pelaksana Unit Aset Kripto dan Siber SEC, mengkritik perusahaan-perusahaan yang membingkai risiko keamanan siber secara hipotesis atau umum ketika perusahaan tersebut mengetahui bahwa risiko “sudah terwujud.”
“Meremehkan luasnya pelanggaran keamanan siber material adalah strategi yang buruk,” katanya. “Hukum sekuritas federal melarang setengah kebenaran, dan tidak ada pengecualian untuk pernyataan dalam pengungkapan faktor risiko.”
Semua perusahaan tersebut mematuhi penyelidikan dan hukuman perdata memungkinkan setiap perusahaan untuk tidak mengakui atau menyangkal temuan SEC.
Ketika dihubungi untuk memberikan komentar, keempat perusahaan tersebut mengonfirmasi perjanjian penyelesaian dengan SEC tetapi beberapa mengatakan bahwa meskipun mereka tidak setuju dengan temuan tersebut, mereka ingin menyelesaikan masalah ini.
Juru bicara Check Point mengatakan mereka telah membahas masalah ini dalam formulir 6-K yang diajukan kepada SEC pada Desember 2023.
“Seperti yang disebutkan dalam perintah SEC, Check Point menyelidiki insiden SolarWinds dan tidak menemukan bukti bahwa data pelanggan, kode, atau informasi sensitif lainnya diakses,” kata seorang juru bicara kepada Recorded Future News.
“Meskipun demikian, Check Point memutuskan bahwa bekerja sama dan menyelesaikan perselisihan dengan SEC adalah yang terbaik untuk kepentingan perusahaan dan memungkinkan perusahaan untuk tetap fokus membantu pelanggannya mempertahankan diri dari serangan siber di seluruh dunia.”
Mimecast mengatakan dalam sebuah pernyataan bahwa mereka membuat “pengungkapan ekstensif” selama tanggapan mereka terhadap insiden tersebut pada tahun 2021 dan bersikap transparan dengan mitra dan pelanggan.
Pernyataan Avaya menyerupai pernyataan lainnya, menegaskan kembali bahwa mereka senang telah menyelesaikan masalah dengan SEC.
Juru bicara Unisys menolak berkomentar di luar pengajuan SEC yang dibuat perusahaan pada Selasa untuk mengumumkan penyelesaian tersebut.
Dalam pengajuan tersebut, perusahaan tersebut mengatakan bahwa denda perdata sebesar $4 juta sepenuhnya diakumulasikan dalam laporan keuangan perusahaan tahun 2023 dan dampak kas diasumsikan dalam arus kas bebas tahun 2024.
“SEC mengakui kerja sama Perusahaan dalam penyelidikannya dan langkah-langkah perbaikan yang telah diambil Perusahaan dalam beberapa tahun sejak pengungkapan kelemahan material pada November 2022, termasuk meningkatkan kebijakan dan prosedur pengungkapan dan meningkatkan personel dan alat keamanan sibernya, baik secara internal maupun eksternal, untuk memperkuat manajemen risiko dan perlindungan keamanan sibernya,” kata perusahaan tersebut dalam pengajuan tersebut.
Insiden SolarWinds – yang menyaksikan agen Rusia memasukkan malware ke dalam versi aplikasi pemantauan TI Orion milik SolarWinds, yang memungkinkan agen Rusia untuk mendapatkan pijakan di target bernilai tinggi – telah menjadi salah satu insiden siber paling penting dalam sejarah.
Lusinan perusahaan dan lembaga pemerintah terkena dampak serangan tersebut, termasuk Departemen Perdagangan, Pertahanan, Energi, Keamanan Dalam Negeri, Kehakiman, Keuangan, dan Luar Negeri.
SEC meluncurkan kampanye hukum yang belum pernah terjadi sebelumnya terhadap Solarwinds dan Chief Information Security Officer-nya Timothy Brown atas peran mereka dalam dugaan kebohongan kepada investor dengan “melebih-lebihkan praktik keamanan siber SolarWinds dan meremehkan atau gagal mengungkapkan risiko yang diketahui” dari 2017 hingga 2021.
Pada bulan Juli, seorang hakim Pengadilan Distrik AS menolak sebagian besar kasus tersebut, dengan alasan bahwa sebagian besar tuduhan pemerintah terhadap Solarwinds “secara tidak sah bergantung pada pandangan belakang dan spekulasi.”