SEC multa quatro empresas em quase US$ 7 milhões por divulgações enganosas sobre riscos cibernéticos

A Securities and Exchange Commission (SEC) anunciou recentemente que quatro empresas públicas, tanto atuais quanto antigas – Unisys Corp., Avaya Holdings Corp., Check Point Software Technologies Ltd e Mimecast Limited – foram acusadas de divulgar informações materialmente enganosas sobre riscos e incidentes de segurança cibernética. A SEC também acusou a Unisys de violar controles e procedimentos de divulgação, enfatizando a necessidade de maior transparência e integridade nas divulgações feitas por empresas públicas.

Essas acusações surgem em meio a uma crescente preocupação com a segurança cibernética no ambiente corporativo, especialmente após o incidente amplamente divulgado envolvendo o comprometimento do software Orion, da SolarWinds. O hack afetou diversas organizações ao redor do mundo e levantou questões sobre a forma como as empresas lidam com divulgações de incidentes de segurança.

Contexto das Acusações

A investigação conduzida pela SEC teve como foco a forma como as empresas relataram publicamente as violações de segurança cibernética e os riscos associados, especificamente em relação ao incidente com o SolarWinds Orion. Este ataque, descoberto em 2020, envolveu um sofisticado hack que permitiu que agentes mal-intencionados acessassem os sistemas de diversas empresas e governos. No entanto, as quatro empresas mencionadas falharam em relatar com precisão a extensão do impacto do ataque em seus próprios sistemas.

De acordo com as ordens da SEC, a Unisys, Avaya e Check Point identificaram, em 2020, que o agente responsável pelo ataque do SolarWinds Orion havia acessado seus sistemas sem autorização, enquanto a Mimecast descobriu a violação em 2021. No entanto, cada uma das empresas minimizou o incidente em suas divulgações públicas, deixando de fornecer informações completas e precisas sobre a natureza e o impacto das intrusões. Isso levou a alegações de que as empresas estavam tentando subestimar os riscos para seus investidores e o público em geral.

Penalidades Imputadas pela SEC

As penalidades impostas pela SEC são significativas, embora variem entre as empresas. A Unisys concordou em pagar uma multa civil de US$ 4 milhões, a maior das quatro penalidades. A Avaya foi multada em US$ 1 milhão, enquanto a Check Point e a Mimecast foram multadas em US$ 995.000 e US$ 990.000, respectivamente. Essas multas refletem não apenas a gravidade das falhas nas divulgações, mas também a determinação da SEC em garantir que as empresas públicas cumpram rigorosamente as exigências de divulgação.

Detalhes das Violações de Divulgação

As acusações contra as empresas apontam para diferentes formas de falha nas divulgações de segurança cibernética:

• Unisys Corp.: De acordo com a SEC, a Unisys descreveu os riscos de eventos de segurança cibernética como hipotéticos, mesmo sabendo que havia sofrido duas intrusões relacionadas ao SolarWinds, que resultaram na exfiltração de gigabytes de dados. Além disso, a empresa foi acusada de ter controles de divulgação deficientes, o que contribuiu para as informações enganosas fornecidas ao público.
• Avaya Holdings Corp.: A SEC alegou que a Avaya declarou que o autor da ameaça havia acessado apenas um “número limitado de mensagens de e-mail da empresa”. No entanto, a empresa sabia que o agente malicioso também havia acessado pelo menos 145 arquivos em seu ambiente de compartilhamento de arquivos na nuvem, uma informação que não foi adequadamente divulgada.
• Check Point Software Technologies Ltd: A Check Point, uma empresa de segurança cibernética bem estabelecida, também falhou em divulgar com precisão os detalhes do incidente. Segundo a SEC, a empresa sabia da invasão, mas optou por descrever os riscos de forma genérica, sem detalhar a extensão do impacto.
• Mimecast Limited: Por fim, a Mimecast foi acusada de minimizar o ataque ao não revelar a natureza do código que foi extraído pelo agente da ameaça e a quantidade de credenciais criptografadas acessadas. A omissão de detalhes importantes sobre o incidente gerou preocupações sobre a transparência da empresa em relação aos seus riscos de segurança cibernética.

Implicações das Violações e das Penalidades

Ações da SEC como essas refletem a crescente importância da segurança cibernética no ambiente regulatório e corporativo. Os investidores e o público confiam nas divulgações feitas por empresas públicas para avaliar o risco e o valor dos investimentos. Quando as empresas não são transparentes sobre incidentes de segurança cibernética, isso pode afetar a tomada de decisões dos investidores e comprometer a confiança na integridade do mercado.

Além disso, a natureza das falhas dessas quatro empresas destaca a necessidade de práticas robustas de governança e gerenciamento de risco. O incidente com o SolarWinds foi um dos ataques cibernéticos mais significativos dos últimos anos, afetando inúmeras organizações globalmente. A falha das empresas em divulgar com precisão o impacto do ataque sugere deficiências nos controles internos e na cultura de conformidade.

O Papel dos Controles Internos e da Governança Corporativa

O caso também destaca a importância dos controles internos e da governança corporativa para garantir que informações materiais sejam comunicadas de forma adequada. A SEC concluiu que a Unisys, em particular, apresentava deficiências nos seus controles de divulgação, o que contribuiu para a falta de precisão nas informações fornecidas.

Para mitigar riscos semelhantes no futuro, as empresas precisam reforçar seus controles internos e garantir que os processos de divulgação sejam eficazes e abrangentes. Isso pode incluir:

1. Melhoria dos Controles de Divulgação: Garantir que todos os processos de divulgação estejam alinhados com as melhores práticas do setor e com as exigências regulatórias, incluindo a avaliação rigorosa de todos os riscos relacionados a incidentes de segurança cibernética.
2. Treinamento Regular e Atualização de Políticas: As empresas devem treinar regularmente seus funcionários e atualizar as políticas de segurança cibernética para refletir as ameaças emergentes e as mudanças no ambiente regulatório.
3. Monitoramento Contínuo das Ameaças: Estabelecer práticas de monitoramento contínuo para identificar e mitigar riscos cibernéticos de forma proativa.
4. Engajamento com Consultores de Conformidade e Segurança Cibernética: Colaborar com especialistas para avaliar a eficácia das políticas de segurança e conformidade, além de revisar periodicamente os controles de divulgação.

Cooperação das Empresas e as Medidas Adotadas

Apesar das acusações, é importante notar que todas as quatro empresas cooperaram com a investigação da SEC. Elas forneceram voluntariamente análises ou apresentações que ajudaram a agilizar o processo de investigação e tomaram medidas voluntárias para melhorar seus controles de segurança cibernética. Isso demonstra uma disposição em corrigir as falhas e uma consciência crescente sobre a importância de abordar incidentes de segurança com transparência.

A ação da SEC serve como um lembrete para todas as empresas públicas de que a falta de transparência em relação aos riscos de segurança cibernética não será tolerada. As penalidades impostas refletem a seriedade com que a agência trata questões de divulgação e a sua intenção de promover a integridade e a confiança no mercado financeiro.

Conclusão

O caso envolvendo a Unisys, Avaya, Check Point e Mimecast destaca a importância crítica da transparência e da governança eficaz em segurança cibernética. As empresas públicas têm a obrigação de fornecer informações completas e precisas sobre os riscos que podem afetar seus negócios, especialmente quando se trata de incidentes de segurança cibernética, que podem ter implicações significativas para os investidores e o mercado.

Com o aumento das ameaças cibernéticas globais, as empresas devem adotar práticas rigorosas de segurança e conformidade para proteger seus dados e a confiança de seus investidores. A ação da SEC contra essas empresas serve como um alerta para a necessidade de maior vigilância e transparência nas divulgações de segurança cibernética, além de reforçar a importância de controles internos robustos e uma cultura organizacional voltada para a conformidade.

As penalidades financeiras, embora significativas, são apenas uma parte da solução. As mudanças culturais e de governança dentro das empresas são essenciais para garantir que incidentes semelhantes sejam geridos com a devida seriedade e transparência no futuro. Assim, o compromisso contínuo com a melhoria dos controles internos e práticas de divulgação será fundamental para evitar consequências semelhantes e para promover um ambiente corporativo mais seguro e confiável.