Blackbaud因误导性披露支付300万美元和解款

关键要点

Blackbaud是一家捐助者数据管理软件公司，其于2020年发生的勒索病毒攻击成为该年最大的安全事件。事件影响了超过两十家提供者的组织，并影响了超过1000万名患者的数据。这次黑客攻击在三个多月内未被发现，使攻击者能够窃取大量与捐助者、潜在捐助者以及影响实体相关的数据。

SEC发现，Blackbaud在披露中“误导性地将获取敏感捐助者信息的风险描述为假设性” 。

Blackbaud首次在2020年7月16日宣布了该勒索病毒攻击和数据窃取事件，但表示攻击者未能获取捐助者的银行账户信息或社会安全号码。公司官员称受影响的信息仅限于姓名、联络信息及部分健康信息和相关的个人数据。

然而，2020年9月的SEC文件显示，攻击者获取了超出Blackbaud最初披露的未加密数据。后续的披露显示，社会安全号、银行账户资料、用户名和/或密码也被泄露。

在SEC调查中发现，Blackbaud的技术和客户关系部门在初次泄露几天内发现攻击者实际上已经访问并窃取了敏感信息，但未将此信息告知负责公共披露的高级管理层。

技术团队发现的消息显示，攻击者在2020年5月14日声称已窃取Blackbaud客户的数据，随后要求支付赎金，并开始调查，最终导致一次协调的赎金支付以换取已窃取数据的删除。

此外，在2020年7月16日，Blackbaud已经知道攻击者窃取了至少一百万个文件，但SEC认为，尽管技术团队对窃取的数据进行分析以识别受影响的产品和客户，却没有“分析内容”
。

直到大量的投诉发送到Blackbaud，公司才进行了进一步的分析，这解释了受到影响的实体在整个年度内不断披露的情况。

SEC认定，这些沟通失误直接源于Blackbaud缺乏“披露控制和程序”
。因此，Blackbaud向SEC提交的季度报告中遗漏了有关攻击范围的重要信息。

更重要的是，SEC文件中包含了“可能不利影响”等假设性语言，未能提及“客户或捐助者的个人数据已被攻击者窃取”的重要事实，并“暗示攻击对公司业务的风险不再是假设性”
。

SEC执法部门的首席大卫·赫希表示：“根据命令的调查结果，Blackbaud未能披露勒索病毒攻击的全部影响，尽管其员工早已得知其早期的公共声明是错误的。”

赫希补充说：“公开公司有责任向其投资者提供准确和及时的重大信息；Blackbaud未能履行此责任。”

SEC的命令显示，Blackbaud违反了1934年《证券交易法》的几个条款和规则。和解并不