SEC phạt RR Donnelley 2,1 triệu USD về vụ tấn công mã hóa dữ liệu

Công ty Donnelley & Sons (RRD) đã chấp thuận trả hơn 2 triệu USD để thanh toán các khoản phí do Ủy ban Giao dịch và Chứng khoán Hoa Kỳ (SEC) áp dụng đối với các vi phạm liên quan đến hoạt động kiểm soát an ninh mạng.

Nhà cung cấp dịch vụ tiếp thị và truyền thông có trụ sở tại Chicago, Mỹ bị cáo buộc lỗi kiểm soát nội bộ liên quan đến một loạt sự cố an ninh mạng trong năm 2021. 

Cuộc điều tra do ông Arsen Ablaev thuộc Đơn vị Mạng và Tài sản tiền điện tử của SEC và bà Christine S. Bautista thuộc Văn phòng SEC chi nhánh Chicago dẫn đầu thực hiện, cho thấy mức độ nghiêm trọng của vụ việc.

Vụ vi phạm an ninh mạng của RRD 

Hoạt động kinh doanh của RRD tập trung vào các tiêu chuẩn kỹ thuật số và an ninh mạng. Công ty có danh mục khách hàng rộng khắp thuộc khu vực công và tư nhân trong các lĩnh vực chăm sóc sức khỏe, giáo dục, dịch vụ pháp lý và bán lẻ.

Do đó, thị trường cho rằng một tên tuổi hàng đầu như RRD có thể bảo vệ dữ liệu nhạy cảm. Tuy nhiên, cuộc điều tra của SEC cho thấy công ty này thiếu nhiều bộ phận. SEC phát hiện ra rằng công ty và các nhà thầu bên thứ ba được thuê để xây dựng giải pháp không có các biện pháp kiểm soát công bố thông tin hiệu quả nhằm báo cáo thông tin an ninh mạng có liên quan.

Do đó, các bên liên quan và những người ra quyết định tại RRD không thể đưa ra quyết định sáng suốt về các mối lo ngại và vi phạm bảo mật một cách “kịp thời”, nhấn mạnh tác động thực tế của những thiếu sót về bảo mật dữ liệu của công ty.

Ông Jorge G. Tenreiro, Quyền Giám đốc Đơn vị Mạng và Tài sản tiền điện tử cho biết: “Các biện pháp kiểm soát của RRD nhằm nâng cao hoạt động quản lý và bảo vệ tài sản của công ty khỏi các cuộc tấn công mạng là chưa đủ. Tuy nhiên, RRD đã tích cực hợp tác điều tra với chúng tôi, điều đó đã được phản ánh trong các điều khoản của thỏa thuận giải quyết này.”

RRD hợp tác với SEC

RRD đã nhận được phản hồi tích cực vì đã minh bạch trong quá trình điều tra. Báo cáo của SEC tuyên bố rằng công ty “đã hợp tác trong suốt cuộc điều tra, bao gồm cả việc báo cáo sự cố an ninh mạng cho nhân viên trước khi tiết lộ vụ việc, hợp tác đẩy nhanh quá trình điều tra và tự nguyện áp dụng công nghệ và biện pháp kiểm soát an ninh mạng mới. ”

Tuy nhiên, RRD bị kết tội vi phạm Mục 13(b)(2)(B) của Đạo luật Giao dịch Chứng khoán (SEA) năm 1934 và Quy tắc Đạo luật Giao dịch 13a-15a.

Công ty không phản đối kết luận của SEC và chấp thuận nộp phạt dân sự 2.125.000 USD. RRD cũng đã tuyên bố sẽ không tái phạm Đạo luật SEA và hy vọng sẽ khắc phục được những thiếu sót này.

Yến Anh-Theo msn