SEC legt Avaya, Check Point, Mimecast en Unisys boetes op

Avaya, Check Point, Mimecast en Unisys hebben de aandeelhouders bewust verkeerd geïnformeerd over de SolarWinds hack. Daarom hebben ze van toezichthouder SEC boetes gekregen. Als aandeelhouders al om de tuin worden geleid, hoe zit het dan met klanten en resellers?

Voor de zoveelste keer blijken beursgenoteerde bedrijven in Amerika maling te hebben aan de regels. Aandeelhouders, dat zijn de eigenaren van het bedrijf, moeten altijd de juiste informatie krijgen. Als dat niet gebeurd dat is dat een overtreding van de beursregels en van de wet. Dat is trouwens in Nederland niet veel anders.

Er kunnen redenen zijn waarom directies vervelend nieuws voor zich houden, bijvoorbeeld omdat politie of justitie dat verlangt. In dat geval is er geen sprake van een overtreding. Vervelend nieuws verdraaien door de scherpe kantjes weg te laten is altijd in strijd met de regels omdat het aandeelhouders op het verkeerde been zet.

SolarWinds hack

Dat laatste is wat Avaya, Check Point, Mimecast en Unisys volgens de beurswaakhond SEC hebben gedaan. De bedrijven maakten in 2020 gebruik van SolarWinds’ Orion software en dat is zoals bekend compleet gehackt. Via Orion kregen buitenlandse mogendheden toegang tot de systemen van gebruikers zoals dit kwartet en zelf tot de klanten van die gebruikers.

Deze bedrijven hadden er geen zin in daar open over te communiceren. “the SEC’s orders find that these companies provided misleading disclosures about the incidents at issue, leaving investors in the dark about the true scope of the incidents.”

Ander citaat: “Downplaying the extent of a material cybersecurity breach is a bad strategy,[…] The federal securities laws prohibit half-truths, and there is no exception for statements in risk-factor disclosures.”

Er twee voor de hand liggende redenen waarom de directies misleiden acceptabel vond: de vrees dat de omzet en inkomsten een tik zouden krijgen en dat is slecht voor het persoonlijk inkomen. De andere reden is dat het duidelijk maakt dat de verhalen over state-of-the-art producten en procedures weinig met de realiteit te maken hebben. In twee van de vier gevallen gaat het trouwens om bedrijven die iets met cybersecurity te doen.

Wat moet je hier nou mee?

Als belegger kun je door die opgelegde boetes een proces starten. Dat zal ook zeker gaan gebeuren en worden afgewend door een schikking. Maar wat nu als je een klant bent, een reseller. Dan heb je niet direct schade geleden. Aan de andere kant heb je wel zwart op wit het bewijs dat je leverancier er bewust voor kiest zijn eigen belang boven alles, zelfs boven de wet, te stellen. Is dat het type bedrijf waar je zorgeloos zaken mee kunt doen?

Het kwartet bedrijven zal de komende periode linksom of rechtsom deze vraag te horen krijgen. Heel simpel bij elke grondige uitvraag tijdens een aanbesteding over vergelijkbare procedure, komt op dat punt de rode stift op tafel en worden er minpunten uitgedeeld.