.
A Blackbaud concordou em pagar US$ 3 milhões para encerrar as acusações de que fez divulgações enganosas sobre uma infecção de ransomware em 2020, na qual bandidos roubaram mais de um milhão de arquivos em cerca de 13.000 clientes do criador de software em nuvem.
De acordo com o órgão fiscalizador financeiro dos Estados Unidos, a SEC, Blackbaud desembolsará o dinheiro – sem admitir ou negar as descobertas do regulador – e cessará e desistirá de cometer quaisquer outras violações.
“A Blackbaud tem o prazer de resolver este assunto com a SEC e agradece a colaboração e o feedback construtivo da Comissão, à medida que a empresa melhora continuamente suas políticas de relatórios e divulgação”, disse Tony Boor, diretor financeiro da empresa. Strong The One.
“A Blackbaud continua a fortalecer seu programa de segurança cibernética para proteger clientes e consumidores e minimizar o risco de ataques cibernéticos em um cenário de ameaças em constante mudança”, acrescentou Boor.
Para uma perspectiva: a empresa com sede na Carolina do Sul – que fornece, entre outras coisas, ferramentas de gerenciamento de doadores para organizações sem fins lucrativos – bancou US$ 1,1 bilhão em receita em 2022, resultando em uma perda de $ 45,4 milhões. Este acordo é a menor das preocupações do negócio, imaginamos.
Tapa no pulso
Aqui está o que aconteceu: em maio de 2020, Blackbaud sofreu uma infecção por ransomware, silenciosamente pagou os bandidos e não disse aos clientes sobre a violação de segurança até julho de 2020. E quando a empresa de software notificou os clientes, garantiu-lhes que o “cibercriminoso não acessou … informações de contas bancárias ou números de previdência social”, de acordo com a ordem da SEC [PDF].
No final daquele mês, no entanto, a SEC afirma que o pessoal da Blackbaud descobriu que os criminosos haviam acessado informações não criptografadas de contas bancárias de doadores e números de previdência social. Mas os funcionários supostamente não contaram à alta administração sobre o roubo de dados confidenciais de clientes porque a Blackbaud “não tinha políticas ou procedimentos estabelecidos para garantir que eles fizessem isso”, dizem os documentos do tribunal. Faça disso o que quiser.
Isso, por sua vez, resultou na apresentação de um relatório trimestral da SEC pela empresa que omitiu essas informações importantes sobre o escopo do ataque cibernético e, de acordo com a agência, “caracterizou erroneamente o risco de um invasor obter informações confidenciais de doadores como hipotético”.
Um mês depois, os executivos da empresa preencheram um formulário 8-K alterado [PDF] sobre a infecção do ransomware e admitiu pela primeira vez que os criminosos “podem ter acessado algumas informações bancárias não criptografadas” do cliente. Ops.
“”Conforme o pedido determina, a Blackbaud falhou em divulgar o impacto total de um ataque de ransomware, apesar de seu pessoal saber que suas declarações públicas anteriores sobre o ataque eram errôneas”, disse David Hirsch, chefe da Unidade de Ativos Criptográficos e Cibernéticos da SEC Enforcement Division em a declaração. “As empresas públicas têm a obrigação de fornecer aos seus investidores informações materiais precisas e oportunas; a Blackbaud falhou em fazê-lo.”
A infecção por ransomware — e a falta de transparência sobre a confusão de segurança — também provocou vários ações judiciais coletivas contra Blackbaud. Isso pode ser um erro muito caro. ®
.
