La SEC anunció hoy cargos resueltos contra la empresa de servicios de liquidación de bienes raíces First American Financial Corporation por controles de divulgación y violaciones de procedimientos relacionados con una vulnerabilidad de seguridad cibernética que expuso información confidencial del cliente.
Antilavadodedinero / SEC.gov
Según la orden de la SEC, en la mañana del 24 de mayo de 2019, un periodista de ciberseguridad notificó a First American de una vulnerabilidad con su aplicación para compartir imágenes de documentos que exponían más de 800 millones de imágenes que datan de 2003, incluidas imágenes que contienen datos personales sensibles como números de seguro social e información financiera. En respuesta, según la orden, First American emitió un comunicado de prensa la noche del 24 de mayo de 2019 y proporcionó un Formulario 8-K a la Comisión el 28 de mayo de 2019.
Sin embargo, según la orden, los altos ejecutivos de First American Los responsables de estas declaraciones públicas no fueron informados de cierta información que fuera relevante para su evaluación de la respuesta de divulgación de la compañía a la vulnerabilidad y la magnitud del riesgo resultante.
En particular, la orden determina que los altos ejecutivos de First American no fueron informados de que el personal de seguridad de la información de la empresa había identificado la vulnerabilidad varios meses antes, pero no la había solucionado de acuerdo con las políticas de la empresa. La orden determina que First American no mantuvo controles y procedimientos de divulgación diseñados para garantizar que toda la información relevante disponible sobre la vulnerabilidad fuera analizada para su divulgación en los informes públicos de la empresa presentados ante la Comisión.
“Como resultado de los deficientes controles de divulgación de First American, la alta gerencia no estaba al tanto de esta vulnerabilidad y de la falla de la compañía para remediarla”, dijo Kristina Littman, Jefa de la Unidad Cibernética de la División de Cumplimiento de la SEC. «Los emisores deben asegurarse de que la información importante para los inversores se informe en la escala corporativa a los responsables de las divulgaciones».
La orden de la SEC acusa a First American de violar la Regla 13a-15 (a) de la Exchange Act. Sin admitir ni negar los hallazgos de la SEC, First American acordó una orden de cesar y desistir y pagar una multa de $ 487,616.
La investigación de la SEC fue realizada por Brent W. Wilner de la Unidad Cibernética con la ayuda de Amy J. Longo de la Unidad de Prueba, y fue supervisada por Diana K. Tani y la Sra. Littman de la Unidad Cibernética. La SEC agradece la ayuda del Departamento de Servicios Financieros del Estado de Nueva York.
