– Blackbaud acordó pagar $ 3 millones para liquidar los cargos relacionados con un ataque de ransomware de 2020 que afectó a más de 13,000 clientes, la Comisión de Bolsa y Valores (SEC) Anunciado. Blackbaud proporciona software de gestión de datos de donantes a una variedad de organizaciones sin fines de lucro, incluidas las organizaciones de atención médica.
La SEC alegó que Blackbaud hizo “divulgaciones engañosas” sobre la violación. Específicamente, en julio de 2020, Blackbaud publicó un aviso de incumplimiento en su sitio web que indicaba que el atacante del ransomware no había accedido a la información de la cuenta bancaria del donante ni a los números de Seguro Social.
“Sin embargo, a los pocos días de estas declaraciones, el personal de tecnología y relaciones con el cliente de la empresa se enteró de que estas afirmaciones con respecto a la información de la cuenta bancaria y los números de seguro social eran erróneas”, indicó la orden de la SEC.
“Sin embargo, el 4 de agosto de 2020, la compañía presentó un Formulario 10-Q que discutía el incidente, pero omitió esta información material sobre el alcance del ataque y caracterizó engañosamente el riesgo de exfiltración de información tan sensible del donante como hipotético”.
No fue hasta septiembre de 2020 que la empresa reveló por primera vez que el atacante había accedido a información bancaria de donantes sin cifrar y números de Seguro Social. La SEC también encontró que Blackbaud no había mantenido los controles de divulgación adecuados y violado ciertas secciones de la Ley de Valores de 1933 y la Ley de Bolsa de Valores de 1934.
“Como determina la orden, Blackbaud no reveló el impacto total de un ataque de ransomware a pesar de que su personal se enteró de que sus declaraciones públicas anteriores sobre el ataque eran erróneas”, dijo David Hirsch, jefe de la Unidad de activos criptográficos y cibernéticos de la División de Cumplimiento de la SEC. “Las empresas públicas tienen la obligación de proporcionar a sus inversionistas información material veraz y oportuna; Blackbaud no lo hizo”.
El ataque de ransomware se descubrió por primera vez en mayo de 2020, pero es posible que haya comenzado ya en febrero de 2020. La brecha afectó a una variedad de organizaciones de atención médica que tenían relaciones comerciales con Blackbaud, incluidas Northern Light Health Foundation, AdventHealth Foundation Shawnee Mission y Sisters del Sistema de Salud de Caridad.
La SEC ordenó a Blackbaud pagar una multa civil de $3 millones y dejar de cometer violaciones de la SEC. Blackbaud no admitió ningún delito, pero accedió al acuerdo.
