Editora educacional Pearson multada por encobrimento de violação de dados

Editora educacional Pearson multada por encobrimento de violação de dados

A Securities and Exchange Commission (SEC) dos Estados Unidos impôs uma multa de US $ 1 milhão a uma editora educacional com sede em Londres Pearson para liquidar acusações que enganou propositalmente seus investidores sobre um ataque cibernético de 2018 que viu milhões de registros de alunos, incluindo informações de identificação pessoal (PII), comprometidos.

O incidente viu dados de alunos e credenciais de login de administrador relacionados a 13.000 contas de clientes de universidades e distritos escolares roubados, mas de acordo com os investigadores da SEC, Pearson se referiu a um incidente de privacidade de dados como um “risco hipotético” em um relatório semestral publicado em julho de 2019, após a violação ter ocorrido.

Ao divulgar a violação em julho de 2019, Pearson também disse que a violação “pode ​​incluir” datas de nascimento e endereços de e-mail quando na verdade já sabia que os registros violados incluíam essas informações, e disse que tinha “proteções rígidas” em vigor quando, na verdade, como os investigadores descobriram, não conseguiu corrigir um CVE crítico em seus sistemas por seis meses após a divulgação. A SEC também disse que o comunicado de Pearson à mídia acima relacionado omitiu a declaração de que milhões de registros de dados e senhas com hash foram roubados.

A investigação da SEC também descobriu que os controles e procedimentos de divulgação da Pearson foram mal projetados e não podiam garantir que as pessoas dentro da organização com responsabilidade por fazer determinações de divulgação tivessem sido informadas de certas informações sobre as circunstâncias da violação.

“Conforme consta da ordem, Pearson optou por não divulgar essa violação aos investidores até que fosse contatada pela mídia e, mesmo assim, Pearson subestimou a natureza e o escopo do incidente e exagerou nas proteções de dados da empresa”, disse Kristina Littman, chefe de a Unidade Cibernética da Divisão de Execução da SEC.

“Como as empresas públicas enfrentam a ameaça crescente de intrusões cibernéticas, elas devem fornecer informações precisas aos investidores sobre incidentes cibernéticos materiais.”

A ordem considera a Pearson em violação de vários artigos da Seção 17 do US Securities Act de 1933 e da Seção 13 do Exchange Act de 1934. A empresa concordou em cessar e desistir de cometer violações dessas disposições sem admitir ou negar a investigação descobertas.

Um porta-voz da empresa disse: “A Pearson confirma que chegou a um acordo sobre uma ação de execução com a Comissão de Valores Mobiliários sobre as divulgações públicas da empresa em julho de 2019 a respeito de uma violação de dados de 2018 em conexão com AIMSweb 1.0, um software baseado na web ferramenta de inserção e acompanhamento do desempenho acadêmico dos alunos aposentada em julho de 2019 em linha com plano de aposentadoria previamente agendado.

“Sob o acordo, Pearson não admitiu nem negou as conclusões estabelecidas na ordem da SEC, incluindo as violações. Pearson estará sujeito a uma ordem de cessação e desistência exigindo que a Pearson não se envolva em violações de certas disposições das leis federais de valores mobiliários e vai pagar uma multa civil de $ 1 milhão. No pedido, a SEC reconheceu a cooperação de Pearson com a equipe da SEC. ”

Comentando sobre a multa, Orange Cyberdefense O gerente de produto do Reino Unido, Dominic Trott, disse que o incidente destacou a importância da transparência na divulgação de incidentes, especialmente considerando que o setor de educação tem sofrido intensa pressão de agentes mal-intencionados, incluindo gangues de ransomware.

“Somente por meio da colaboração e da transparência os ciber pesquisadores e tecnólogos podem começar a virar a maré contra os cibercriminosos que pretendem causar estragos no setor”, disse Trott.

“Como Pearson aprendeu, deixar de divulgar adequadamente uma violação também pode ser muito mais prejudicial à reputação de uma organização e pode incorrer em penalidades legais severas, especialmente quando dados de clientes estão envolvidos.

“Os processos de divulgação de violação devem fazer parte da abordagem combinada de uma organização para a segurança cibernética, colocando em camadas uma combinação de pessoas, processos e tecnologias habilitadoras para reduzir o risco, minimizar o impacto de uma violação caso ocorra e demonstrar diligência e melhores práticas para ambos os clientes e órgãos de governo. ”

Leave a Reply

Your email address will not be published. Required fields are marked *