Penyedia perangkat lunak cloud Blackbaud telah setuju untuk membayar $3 juta untuk menyelesaikan tuntutan yang diajukan oleh Securities and Exchange Commission (SEC), dengan tuduhan gagal mengungkapkan dampak penuh dari serangan ransomware tahun 2020 yang memengaruhi lebih dari 13.000 pelanggan.
Organisasi yang terkena dampak insiden tersebut termasuk banyak entitasseperti badan amal, yayasan, organisasi nirlaba, dan universitas di seluruh dunia, dari AS, Kanada, Inggris Raya, dan Belanda.
Untuk menyelesaikan tuduhan SEC (tetapi tanpa mengkonfirmasi atau menyangkal temuan SEC), Blackbaud telah setuju untuk membayar denda perdata $3 juta karena gagal mengungkapkan cakupan penuh dari serangan dunia maya.
“Seperti yang ditemukan oleh perintah tersebut, Blackbaud gagal mengungkapkan dampak penuh dari serangan ransomware meskipun personelnya mengetahui bahwa pernyataan publik sebelumnya tentang serangan itu salah,” dikatakan David Hirsch, kepala Aset Kripto dan Unit Siber Divisi Penegakan SEC.
“Perusahaan publik memiliki kewajiban untuk memberikan informasi material yang akurat dan tepat waktu kepada investor mereka; Blackbaud gagal melakukannya.”
Menurut SEC, perusahaan dinyatakan pada Juli 2020 bahwa penyerang di balik serangan ransomware Mei 2020 belum mendapatkan akses ke detail rekening bank donor atau nomor jaminan sosial.
Namun, staf teknologi dan hubungan pelanggan Blackbaud segera mengetahui bahwa pelaku ancaman telah mengakses dan mencuri informasi sensitif ini.
Sayangnya, mereka gagal melaporkannya kepada manajemen karena perusahaan tidak memiliki kontrol dan prosedur pengungkapan yang tepat. Hal ini menyebabkan Blackbaud mengajukan laporan SEC pada bulan berikutnya, yang tidak menyertakan informasi penting tentang tingkat pelanggaran tersebut.
Selain itu, laporan tersebut secara menyesatkan menyatakan bahwa risiko informasi sensitif donor yang diperoleh penyerang hanyalah hipotetis.
Serangan diselidiki oleh Jaksa Agung dari 43 negara bagian
Hingga November 2020, Blackbaud sudah ada digugat dalam 23 kasus class action konsumen yang diusulkan di AS dan Kanada terkait dengan serangan ransomware Mei 2020 dan pelanggaran data, menurut Laporan Triwulan Q3 2020 diajukan ke SEC.
Perusahaan juga mengungkapkan bahwa lembaga pemerintah dan regulator data, termasuk Permintaan Investigasi Sipil terkonsolidasi multi-negara bagian yang dikeluarkan atas nama 43 Jaksa Agung negara bagian dan Distrik Columbia, juga telah menyelidiki serangan tersebut.
Blackbaud juga menegaskannya siaran pers Juli 2020 (yang sekarang dialihkan ke perusahaan halaman keamanan) bahwa ia membayar uang tebusan yang diminta oleh penyerang setelah menerima konfirmasi bahwa semua data yang dicuri telah dihancurkan.
“Karena melindungi data pelanggan kami adalah prioritas utama kami, kami membayar permintaan penjahat dunia maya dengan konfirmasi bahwa salinan yang mereka hapus telah dihancurkan,” kata Blackbaud.
“Berdasarkan sifat insiden, penelitian kami, dan penyelidikan pihak ketiga (termasuk penegakan hukum), kami tidak memiliki alasan untuk percaya bahwa data apa pun melampaui penjahat dunia maya, telah atau akan disalahgunakan; atau akan disebarluaskan atau disediakan. di depan umum.”
