クラウド ソフトウェア プロバイダーの Blackbaud は、13,000 人以上の顧客に影響を与えた 2020 年のランサムウェア攻撃の完全な影響を開示できなかったと主張して、証券取引委員会 (SEC) によって提起された請求を解決するために 300 万ドルを支払うことに同意しました。
この事件の影響を受けた組織には、米国、カナダ、英国、オランダの慈善団体、財団、非営利団体、大学など、世界中の多くの団体が含まれます。
SEC の告発を解決するために (ただし、SEC の調査結果を確認または否定することなく)、Blackbaud は、サイバー攻撃の全範囲を開示しなかったことに対して 300 万ドルの民事罰を支払うことに同意しました。
SEC執行部の暗号資産およびサイバーユニットの責任者であるDavid Hirsch氏は、「命令が発見したように、Blackbaudは、攻撃に関する以前の公式声明が誤りであることを担当者が知っていたにもかかわらず、ランサムウェア攻撃の完全な影響を開示することができませんでした.
「上場企業には、投資家に正確かつタイムリーな重要情報を提供する義務がありますが、Blackbaud はこれを怠りました。」
SEC によると、同社は 2020 年 7 月に、2020 年 5 月のランサムウェア攻撃の背後にいる攻撃者は、寄付者の銀行口座の詳細や社会保障番号にアクセスできなかったと述べています。
しかし、Blackbaud のテクノロジーおよび顧客関係担当者は、攻撃者がこの機密情報にアクセスして盗んだことをすぐに知りました。
残念ながら、会社には適切な開示管理と手順が欠けていたため、経営陣に報告することができませんでした。これにより、Blackbaud は翌月、侵害の範囲に関する重要な情報を含まない SEC 報告書を提出しました。
さらに、報告書は、攻撃者がドナーの機密情報を入手するリスクは単なる仮説に過ぎないと誤解を招くように述べています。
攻撃は 43 州の司法長官によって調査されました
SEC に提出された 2020 年第 3 四半期報告書によると、2020 年 11 月までに、Blackbaud は、2020 年 5 月のランサムウェア攻撃とデータ侵害に関連して、米国とカナダで23 件の消費者集団訴訟で訴えられていました。
同社はまた、43 州の司法長官とコロンビア特別区に代わって発行された、複数の州にまたがる統合された民事調査要求を含む政府機関とデータ規制当局も、この攻撃について調査を行っていることを明らかにしました。
Blackbaud はまた、 2020 年 7 月のプレス リリース(現在は同社のセキュリティ ページにリダイレクトされています) で、盗まれたデータがすべて破壊されたという確認を受け取った後、攻撃者が要求した身代金を支払ったことを確認しました。
「顧客のデータを保護することが私たちの最優先事項であるため、サイバー犯罪者が削除したコピーが破棄されたことを確認して、サイバー犯罪者の要求に応じました」と Blackbaud 氏は述べています。
「事件の性質、私たちの調査、および第三者(法執行機関を含む)の調査に基づいて、データがサイバー犯罪者の範囲を超えた、悪用された、または悪用される、または流布されるか、その他の方法で利用可能になると信じる理由はありません。公に。」
Comments