Garanta que os controlos e procedimentos de divulgação abordem a cibersegurança

Em 15 de junho de 2021, a Comissão de Valores Mobiliários (SEC) anunciou acusações contra a empresa de serviços de liquidação imobiliária First American Financial Corporation por violações de controlos e procedimentos de divulgação relacionados a uma vulnerabilidade de cibersegurança que expôs informações confidenciais de clientes. A ordem da SEC acusa a First American de violar a Regra 13a-15(a) da Lei de Bolsas de Valores de 1934. Sem admitir ou negar as conclusões da SEC, a First American concordou com uma ordem de cessação e desistência e com o pagamento de uma multa de US$ 487.616.

Por que estamos a enviar este alerta: Para lembrar aos emissores que devem garantir que os seus controlos e procedimentos de divulgação abordem a cibersegurança e incluam elementos destinados a garantir que haja uma análise das potenciais obrigações de divulgação decorrentes de ciberataques e violações de segurança.

Detalhes da ordem da SEC: Conforme relatado pela SEC, na manhã de 24 de maio de 2019, um jornalista especializado em cibersegurança notificou a First American sobre uma vulnerabilidade em seu aplicativo para compartilhamento de imagens de documentos que expôs mais de 800 milhões de imagens desde 2003, incluindo imagens contendo dados pessoais confidenciais, como números de segurança social e informações financeiras. Em resposta, de acordo com a ordem, a First American emitiu um comunicado à imprensa na noite de 24 de maio de 2019 e apresentou um Formulário 8-K à Comissão em 28 de maio de 2019. No entanto, de acordo com a ordem, os executivos seniores da First American responsáveis por essas declarações públicas não foram informados de certas informações que eram relevantes para a sua avaliação da resposta da empresa à divulgação da vulnerabilidade e à magnitude do risco resultante.

A ordem conclui que os executivos seniores da First American não foram informados de que o pessoal de segurança da informação da empresa havia identificado a vulnerabilidade vários meses antes, mas não a corrigiu de acordo com as políticas da empresa. A ordem conclui que a First American não manteve os controlos e procedimentos de divulgação destinados a garantir que todas as informações disponíveis e relevantes relativas à vulnerabilidade fossem analisadas para divulgação nos relatórios públicos da empresa apresentados à Comissão.

«Como resultado dos controlos de divulgação deficientes da First American, a alta administração desconhecia completamente essa vulnerabilidade e a falha da empresa em corrigi-la», disse Kristina Littman, chefe da Unidade Cibernética da Divisão de Fiscalização da SEC. Ela também afirmou que «os emissores devem garantir que as informações importantes para os investidores sejam comunicadas aos responsáveis pela divulgação» e que «a First American não possuía quaisquer controlos e procedimentos de divulgação relacionados com a cibersegurança, incluindo incidentes envolvendo potenciais violações desses dados».

Ações necessárias: A ordem é um lembrete de que os emissores devem garantir que os seus controlos e procedimentos de divulgação abordem a cibersegurança e incluam elementos destinados a garantir que haja uma análise das potenciais obrigações de divulgação decorrentes de ciberataques e violações de segurança. No mínimo, os controlos e procedimentos de divulgação e os protocolos relacionados devem prever especificamente que os incidentes de cibersegurança sejam prontamente escalados e investigados, e comunicados à alta administração e, quando apropriado, ao Conselho de Administração.

Os emissores também devem considerar a revisão dos seus programas de conformidade para abordar a potencial aplicabilidade de restrições contra negociações enquanto estiverem na posse de informações materiais e não públicas relacionadas com um ataque cibernético ou violação de segurança.

Declaração de exoneração de responsabilidade

Este blogue é disponibilizado por Foley & Lardner LLP ("Foley" ou "a Firma") apenas para fins informativos. Não se destina a transmitir a posição jurídica da Sociedade em nome de qualquer cliente, nem a prestar aconselhamento jurídico específico. As opiniões expressas neste artigo não reflectem necessariamente a posição da Foley & Lardner LLP, dos seus sócios ou dos seus clientes. Por conseguinte, não actue de acordo com esta informação sem procurar aconselhamento junto de um advogado licenciado. Este blogue não se destina a criar, e a sua receção não constitui, uma relação advogado-cliente. A comunicação com a Foley através deste sítio Web, por correio eletrónico, publicação no blogue ou outro, não cria uma relação advogado-cliente para qualquer assunto jurídico. Por conseguinte, qualquer comunicação ou material que transmita a Foley através deste blogue, seja por correio eletrónico, publicação no blogue ou qualquer outra forma, não será tratado como confidencial ou proprietário. A informação neste blogue é publicada "COMO ESTÁ" e não se garante que seja completa, exacta ou actualizada. A Foley não faz representações ou garantias de qualquer tipo, expressas ou implícitas, quanto ao funcionamento ou conteúdo do sítio. A Foley renuncia expressamente a todas as outras garantias, garantias, condições e representações de qualquer tipo, expressas ou implícitas, quer surjam ao abrigo de qualquer estatuto, lei, utilização comercial ou de outra forma, incluindo garantias implícitas de comercialização, adequação a um determinado fim, título e não infração. Em nenhuma circunstância a Foley ou qualquer um dos seus parceiros, oficiais, funcionários, agentes ou afiliados serão responsáveis, direta ou indiretamente, sob qualquer teoria da lei (contrato, delito, negligência ou outra), perante si ou qualquer outra pessoa, por quaisquer reclamações, perdas ou danos, diretos, indirectos, especiais, incidentais, punitivos ou consequenciais, resultantes ou ocasionados pela criação, utilização ou confiança neste site (incluindo informações e outros conteúdos) ou quaisquer sites de terceiros ou as informações, recursos ou materiais acedidos através de tais sites. Em algumas jurisdições, o conteúdo deste blogue pode ser considerado publicidade de advogados. Se aplicável, tenha em atenção que resultados anteriores não garantem um resultado semelhante. As fotografias destinam-se apenas a fins de dramatização e podem incluir modelos. As imagens não implicam necessariamente o estatuto atual de cliente, parceiro ou empregado.