– Blackbaud a accepté de payer 3 millions de dollars pour régler les frais liés à une attaque de ransomware de 2020 qui a touché plus de 13 000 clients, la Securities and Exchange Commission (SEC) annoncé. Blackbaud fournit un logiciel de gestion des données des donateurs à une variété d’organisations à but non lucratif, y compris des organisations de soins de santé.
La SEC a allégué que Blackbaud avait fait des “divulgations trompeuses” au sujet de la violation. Plus précisément, en juillet 2020, Blackbaud a publié un avis de violation sur son site Web indiquant que l’attaquant du rançongiciel n’avait pas accédé aux informations de compte bancaire du donateur ou aux numéros de sécurité sociale.
“Cependant, quelques jours après ces déclarations, le personnel de la technologie et des relations avec la clientèle de l’entreprise a appris que ces affirmations concernant les informations de compte bancaire et les numéros de sécurité sociale étaient erronées”, a déclaré l’ordonnance de la SEC.
“Néanmoins, le 4 août 2020, la société a déposé un formulaire 10-Q qui discutait de l’incident, mais a omis ces informations importantes sur la portée de l’attaque et a qualifié de manière trompeuse le risque d’exfiltration d’informations aussi sensibles sur les donateurs comme hypothétique.”
Ce n’est qu’en septembre 2020 que la société a révélé pour la première fois que l’attaquant avait accédé aux informations bancaires non cryptées des donateurs et aux numéros de sécurité sociale. La SEC a également constaté que Blackbaud n’avait pas maintenu les contrôles de divulgation appropriés et avait violé certaines sections du Securities Act de 1933 et du Securities Exchange Act de 1934.
“Comme l’indique l’ordonnance, Blackbaud n’a pas divulgué le plein impact d’une attaque de ransomware bien que son personnel ait appris que ses déclarations publiques antérieures sur l’attaque étaient erronées”, a déclaré David Hirsch, chef de la division Crypto Assets and Cyber Unit de la SEC Enforcement Division. « Les entreprises publiques ont l’obligation de fournir à leurs investisseurs des informations importantes exactes et opportunes ; Blackbaud n’a pas réussi à le faire.
L’attaque par rançongiciel a été découverte pour la première fois en mai 2020, mais peut avoir commencé dès février 2020. Diverses organisations de soins de santé qui avaient des relations d’affaires avec Blackbaud ont été touchées par la violation, notamment la Northern Light Health Foundation, la AdventHealth Foundation Shawnee Mission et Sisters du système de santé caritatif.
La SEC a ordonné à Blackbaud de payer une amende civile de 3 millions de dollars et de cesser de commettre des violations de la SEC. Blackbaud n’a admis aucun acte répréhensible mais a accepté le règlement.
