Blackbaud acordó retribuir $ 3 millones para resolver los cargos de que proporcionó información engañosa sobre una infección de ransomware de 2020 en la que los estafadores robaron más de un millón de archivos en aproximadamente 13,000 clientes de software en la nimbo.
Según el organismo de control financiero de Estados Unidos, la SEC, Blackbaud venderá el capital, sin acoger ni desmentir los hallazgos del regulador, y cesará y desistirá de cometer más violaciones.
«Blackbaud se complace en resolver el asunto con la SEC y agradece la cooperación y los comentarios constructivos de la Comisión a medida que la empresa restablecimiento continuamente sus políticas de información y divulgación», dijo Tony Boor, director financiero de la empresa. El registro.
«Blackbaud continúa fortaleciendo su software de seguridad cibernética para proteger a los clientes y consumidores y para minimizar el aventura de ataques cibernéticos en un panorama de amenazas en constante cambio», agregó Boor.
En perspectiva: la empresa con sede en Carolina del Sur, que proporciona, entre otras cosas, herramientas de papeleo de donantes a organizaciones sin fines de ganancia, apuntó $ 1.1 mil millones en ingresos en 2022, con una pérdida de $45,4 millones. Este acuerdo es la último de las preocupaciones del negocio, imaginamos.
Palmada en la muñeca
Esto es lo que sucedió: en mayo de 2020, Blackbaud sufrió una infección de ransomware, pagó silenciosamente a los delincuentes y no le dijo a los clientes sobre la brecha de seguridad hasta julio de 2020. Y cuando la compañía de software notificó a los clientes, les aseguró que “el ciberdelincuente no tenía llegada a… información de cuentas bancarias o números de seguro social”, según la orden de la SEC. [PDF].
Sin requisa, a fines de ese mes, la SEC dice que el personal de Blackbaud descubrió que los delincuentes habían accedido a la información de cuentas bancarias de donantes y números de Seguro Social sin compendiar. Pero los empleados supuestamente no le dijeron a la reincorporación gobierno sobre el robo de datos confidenciales de los clientes porque Blackbaud «no tenía ninguna política o procedimiento diseñado para asegurar que lo hicieran», según los documentos judiciales. Haz lo que quieras.
Esto, a su vez, llevó a la empresa a presentar un mensaje trimestral de la SEC que omitió esta información material sobre la escalera del ciberataque y, según la agencia, «caracterizó engañosamente el aventura de que un atacante obtenga información tan sensible sobre los donantes como hipotético».
Un mes posteriormente, los ejecutivos de la empresa presentaron un Formulario 8-K modificado [PDF] sobre la infección de ransomware y admitió por primera vez que los delincuentes «pueden ocurrir obtenido llegada a cierta información bancaria de clientes sin compendiar». Ups.
«»Como señala la orden, Blackbaud no reveló el impacto total de un ataque de ransomware a pesar de que su personal se enteró de que sus declaraciones públicas anteriores sobre el ataque eran incorrectas», dijo David Hirsch, superior de Crypto Assets and Cyber de la División de Cumplimiento de la SEC. Dispositivo.A manifiesto. «Las empresas públicas tienen la obligación de proporcionar a sus inversores información material precisa y oportuna; Blackbaud no lo ha hecho».
La infección de ransomware y la descuido de transparencia en el tema de la seguridad asimismo han desencadenado varios demandas colectivas contra Blackbaud. Esto podría resultar ser un error muy costoso. ®