La Comisión de Bolsa y Valores de EE. UU. (SEC) impuso una multa de 1 millón de dólares a la editorial educativa con sede en Londres Pearson para resolver los cargos de que engañó deliberadamente a sus inversores durante un ciberataque de 2018 que vio millones de registros de estudiantes, incluida información de identificación personal (PII). , comprometida.
El incidente vio cómo se robaron datos de estudiantes y credenciales de inicio de sesión de administrador relacionados con 13,000 cuentas de clientes de universidades y distritos escolares, pero según los investigadores de la SEC, Pearson se refirió a un incidente de privacidad de datos como un “riesgo hipotético” en un informe semestral publicado en julio de 2019, después de la brecha había tenido lugar.
Al revelar la violación en julio de 2019, Pearson también dijo que la violación “puede incluir” fechas de nacimiento y direcciones de correo electrónico cuando, de hecho, ya sabía que los registros violados incluían esta información, y dijo que tenía “protecciones estrictas” en su lugar cuando en realidad , como encontraron los investigadores, no había parcheado un CVE crítico en sus sistemas durante seis meses después de la divulgación. La SEC también dijo que el comunicado de prensa de Pearson anteriormente vinculado omitió afirmar que se habían robado millones de registros de datos y contraseñas hash.
La investigación de la SEC también encontró que los controles y procedimientos de divulgación de Pearson habían sido mal diseñados y no podía garantizar que las personas dentro de la organización con la responsabilidad de tomar las determinaciones de divulgación hubieran sido informadas de cierta información sobre las circunstancias de la infracción.
“Como se determina en la orden, Pearson optó por no revelar esta infracción a los inversores hasta que los medios de comunicación lo contactaran, e incluso entonces Pearson subestimó la naturaleza y el alcance del incidente, y exageró las protecciones de datos de la empresa”, dijo Kristina Littman, jefa de Unidad Cibernética de la División de Cumplimiento de la SEC.
“A medida que las empresas públicas se enfrentan a la creciente amenaza de las intrusiones cibernéticas, deben proporcionar información precisa a los inversores sobre los incidentes cibernéticos importantes”.
La orden encuentra a Pearson en violación de múltiples artículos de la Sección 17 de la Ley de Valores de EE. UU. De 1933 y la Sección 13 de la Ley de Bolsa de 1934. La compañía acordó cesar y desistir de cometer violaciones de estas disposiciones sin admitir o negar la investigación. recomendaciones.
Un portavoz de la compañía dijo: “Pearson confirma que ha llegado a un acuerdo de una acción de cumplimiento con la Comisión de Bolsa y Valores en relación con las divulgaciones públicas de la compañía en julio de 2019 con respecto a una violación de datos de 2018 en relación con AIMSweb 1.0, un software basado en la web herramienta para ingresar y rastrear el desempeño académico de los estudiantes que se retiró en julio de 2019 en línea con un plan de jubilación previamente programado.
“Según el acuerdo, Pearson no ha admitido ni negado los hallazgos establecidos en la orden de la SEC, incluidas las violaciones. Pearson estará sujeto a una orden de cese y desistimiento exigir a Pearson que no se involucre en violaciones de ciertas disposiciones de las leyes federales de valores y pagará una multa civil de $ 1 millón. En la orden, la SEC reconoció la cooperación de Pearson con el personal de la SEC “.
Al comentar sobre la multa, el gerente de producto de Orange Cyberdefense UK, Dominic Trott, dijo que el incidente subrayó la importancia de la transparencia en la divulgación de incidentes, particularmente dado que el sector de la educación ha estado bajo una presión tan intensa por parte de actores maliciosos, incluidas las bandas de ransomware.
“Solo a través de la colaboración y la transparencia pueden los investigadores y tecnólogos cibernéticos comenzar a cambiar el rumbo contra los delincuentes cibernéticos que intentan causar estragos en el sector”, dijo Trott.
“Como ha aprendido Pearson, la falta de divulgación adecuada de una infracción también puede ser mucho más dañina para la reputación de una organización y puede incurrir en sanciones legales severas, particularmente cuando se trata de datos de clientes.
“Los procesos de divulgación de infracciones deben formar parte del enfoque combinado de una organización para la seguridad cibernética, colocando una combinación de personas, procesos y tecnologías habilitadoras para reducir el riesgo, minimizar el impacto de una infracción en caso de que se produzca y demostrar diligencia y mejores prácticas a ambos clientes. y órganos de gobierno “.