La Comisión de Bolsa y Valores, SEC, multa hoy que Pearson plc, una empresa pública con sede en Londres que proporciona publicaciones educativas y otros servicios a escuelas y universidades, acordó pagar $ 1 millón para resolver los cargos que engañó a los inversionistas sobre una intrusión cibernética de 2018 que involucró el robo de millones de registros de estudiantes, incluidas las fechas de nacimiento y las direcciones de correo electrónico, y tenían controles y procedimientos de divulgación inadecuados.
Antilavadodedinero / SEC.gov
La orden de la SEC determina que Pearson hizo declaraciones engañosas y omisiones sobre la violación de datos de 2018 que involucró el robo de datos de estudiantes y credenciales de inicio de sesión de administrador de 13,000 cuentas de clientes de escuelas, distritos y universidades. En su informe semestral, presentado en julio de 2019, Pearson se refirió a un incidente de privacidad de datos como un riesgo hipotético, cuando, de hecho, la intrusión cibernética de 2018 ya había ocurrido.
Y en un comunicado de prensa de julio de 2019, Pearson declaró que la violación puede incluir fechas de nacimiento y direcciones de correo electrónico, cuando, de hecho, sabía que tales registros fueron robados y que Pearson tenía «protecciones estrictas» en su lugar, cuando, de hecho, , no pudo parchear la vulnerabilidad crítica durante seis meses después de que se le notificó. El comunicado de prensa también omitió que se robaron millones de filas de datos de estudiantes, nombres de usuario y contraseñas con hash. La orden también determina que los controles y procedimientos de divulgación de Pearson no fueron diseñados para garantizar que los responsables de tomar las determinaciones de divulgación fueran informados de cierta información sobre las circunstancias que rodearon la infracción.
«Como se determina en la orden, Pearson optó por no revelar esta infracción a los inversores hasta que los medios de comunicación lo contactaran, e incluso entonces Pearson subestimó la naturaleza y el alcance del incidente y exageró las protecciones de datos de la empresa», dijo Kristina Littman, jefa de Unidad Cibernética de la División de Cumplimiento de la SEC. «A medida que las empresas públicas se enfrentan a la creciente amenaza de las intrusiones cibernéticas, deben proporcionar información precisa a los inversores sobre los incidentes cibernéticos materiales».
La orden de la SEC determinó que Pearson violó las Secciones 17 (a) (2) y 17 (a) (3) de la Securities Act de 1933 y la Sección 13 (a) de la Exchange Act de 1934 y las Reglas 12b-20, 13a-15. (a) y 13a-16 a continuación. Sin admitir ni negar los hallazgos de la SEC, Pearson acordó cesar y desistir de cometer violaciones de estas disposiciones y pagar una multa civil de $ 1 millón.
La investigación de la SEC fue realizada por Arsen Ablaev y Christine Bautista Jeon de la Oficina Regional de Chicago y supervisada por Amy Flaherty Hartman y la Sra. Littman de la Unidad Cibernética.