Een maand na SEC bekend maakte Avaya, Check Point, Mimecast en Unisys een boete op te leggen wegens met misleiden van de aandeelhouders en beleggers zijn de bedragen bekend gemaakt. Unisys moet $4 miljoen betalen, Avaya $1 miljoen, Check Point en Mimecast elk net iets minder dan $1 miljoen.
In deze zaak gaat het om het bewust verzwijgen van de cybersecurity risico’s en incidenten. Door foute informatie te verstrekken zijn bestaande aandeelhouders en beleggers die dat werden op het verkeerde been gezet. Het persbericht van SCE noemt het letterlijk misleiden en misleiding.
Bijvangst bij Unisys
Dat de boete van Unisys zoveel hoger uitvalt komt omdat bij het SEC onderzoek meer lijken uit de kast zijn gevallen. Als die bijvangst buiten beschouwing wordt gelaten is het verhaal redelijk overzichtelijk. Wie liegt over cybersecurity en beursgenoteerd is loopt vroeg of laat tegen de lamp. Dat de oorzaak van de incidenten bij deze vier SolarWinds heet, is voor SEC helemaal niet van belang, het gaat echt alleen maar om het opereren van deze vier gebruikers van de SolarWinds tools.
Al in een vroege fase is de vraag gerezen welke gevolgen de SolarWinds hack gaat hebben. Met boetes en rechtszaken werd toen al rekening gehouden, maar toen werd vooral naar medewerkers van dat bedrijf zelf gekeken. Dat verzekeraars, inkopers en auditors zich anders zouden gaan opstellen viel te verwachten en dat is ook uitgekomen.
Klanten in het vizier
Dat klanten van het bedrijf in de gaten gehouden zou worden bleef lange tijd buiten de scope van de pers. Daarom is de belangstelling voor deze viervoudige SEC zaak in Amerika ook zo groot. Men had dit niet (meer) verwacht.
De hoogte van de boetes zelf zijn geen reden voor discussie, wel hoe lang het zal duren eer de eerste claims van beleggers op grond van deze boetes volgen. Heel simpel, SEC heeft aangetoond dat er gelogen is. Daarmee hebben bestuurders en de accountants (!) die de rapportages hebben opgesteld de sluizen opengezet voor civiele claims. Voor het viertal bedrijven, hun (ex-) bestuurders en adviseurs is de boete daarom niet het einde, maar het begin van een volgende ronde.
Iedereen die namens een in Amerika beursgenoteerd bedrijf moet rapporteren weet nu: “The federal securities laws prohibit half-truths, and there is no exception for statements in risk-factor disclosures.” (SEC persbericht)
Impact hier
De vraag wie hier iets van gaan merken in Nederland of de EU kent geen eenduidig antwoord. Avaya, Check Point, Mimecast en Unisys hebben een lokale presence en ook klanten. Resellers kunnen en zullen gewoon zaken blijven doen. Maar of klanten die werken met uitvragen en RFP’s hier makkelijk aan voorbij mogen gaan zal per geval verschillen.
