美国证券交易委员会（SEC）今天对四家现任和前任上市公司提出指控-- Unisys Corp.、Avaya Holdings Corp. Check Point Software Technology Ltd和Mimecast Limited -就网络安全风险和入侵做出重大误导性披露。SEC还指控Unisys违反披露控制和程序。

两家公司同意支付以下民事罚款以和解SEC的指控：

• Unisys将支付400万美元的民事罚款;
• Avaya。将支付100万美元的民事罚款;
• Check Point将支付995，000美元的民事罚款;以及
• Mimecast将支付99万美元的民事罚款。

对这四家公司的指控源于一项调查，涉及可能受到SolarWinds Orion软件泄露和其他相关活动影响的上市公司。

根据SEC的命令，Unisys、Avaya和Check Point在2020年获悉，Mimecast在2021年获悉，可能是SolarWinds Orion黑客事件背后的威胁行为者未经授权访问了他们的系统，但每家公司都在公开披露中疏忽地将其网络安全事件最小化。

美国证券交易委员会针对Unisys的命令发现，尽管该公司知道自己经历了两次与SolarWinds相关的入侵，涉及GB数据泄露，但仍将其网络安全事件的风险描述为假设性的。该命令还发现，这些重大误导性披露的部分原因是Unisys披露控制不足。

美国证券交易委员会针对Avaya的命令发现，该命令称该威胁行为者访问了“有限数量的公司电子邮件”，而Avaya知道该威胁行为者还访问了其云文件共享环境中的至少145个文件。

美国证券交易委员会针对Check Point的命令发现，它知道这次入侵，但用笼统的术语描述了网络入侵及其带来的风险。

Mimecast的指控命令发现，该公司未能披露威胁行为者泄露的代码的性质以及威胁行为者访问的加密凭证数量，从而最大限度地减少了攻击。

美国证券交易委员会的命令发现，每家公司都违反了1933年《证券法》、1934年《证券交易法》及其相关规则的某些适用条款。在不承认或否认SEC的调查结果的情况下，每家公司同意停止并停止未来违反被指控条款的行为，并支付上述罚款。

每家公司在调查期间都给予了合作，包括自愿提供有助于加快员工调查的分析或演示，以及自愿采取措施加强其网络安全控制。