De Amerikaanse beurswaakhond SEC heeft vier bedrijven, waaronder securitybedrijven Check Point en Mimecast, beboet wegens misleidende meldingen over een inbraak op de eigen systemen. Het gaat bij elkaar om een boetebedrag van zeven miljoen dollar. De bedrijven ontdekten in 2020 en 2021 dat de aanvallers die vermoedelijk achter de aanval op softwarebedrijf SolarWinds zaten ook bij hen hadden ingebroken. Volgens de SEC besloten de vier bedrijven de impact van de inbraak te bagatelliseren.

Zo beschreef Check Point de inbraak en daaruit volgende risico's in algemene termen. Daarnaast stelt de SEC dat Mimecast niet liet weten welke code de aanvallers hadden buitgemaakt. Beide securitybedrijven kregen een boete van bijna één miljoen dollar opgelegd. Ook techbedrijf Avaya moet een boete van één miljoen dollar betalen. Het bedrijf liet weten dat de aanvallers alleen e-mailberichten hadden gestolen, terwijl het wist dat er minstens 145 bestanden uit de cloudomgeving waren buitgemaakt.

De hoogste boete is voor it-dienstverlener Unisys, dat het risico van de inbraak als hypothetisch beschreef, ook al waren er gigabytes aan data gestolen. De misleidende meldingen waren volgens de beurswaakhond het gevolg van de misleidende 'disclosure controls' van Unisys. Het bedrijf kreeg een boete van vier miljoen dollar opgelegd. "Het bagatelliseren van de omvang van een cyberinbraak is een slechte strategie", aldus Jorge Tenreiro van de SEC. Hij voegt toe dat de federale effectenwetgeving 'halve waarheden' verbiedt en dat de vier bedrijven verschillende bepalingen van de Securities Exchange Act hebben overtreden.