Cyberattacks and disinformation campaigns are becoming more common and destructive. Investors and regulators (including the SEC) have taken notice and are demanding additional transparency from public companies. CEO’s are also very concerned, 69% in North America said that cybersecurity is the greatest threat to their organization, from an IR Magazine survey (up 19 percentage points from last year), and concern about false information rose from 16 to 28 percent. In this week’s blog we’ll discuss a few recent examples of disinformation campaigns and cybersecurity attacks and IR’s role in disclosure and prevention.
SEC Cyber Attack Settlements – Pearson PLC and First American Financial Corp.
This summer there were two examples of large settlements and fines related to not properly disclosing breaches. It is a signal from the SEC that they are taking failure to disclose cybersecurity issues that could have a material impact on the company more seriously.
First American Financial (real estate services company) paid a $500 thousand dollar fine for lack of disclosure after a system vulnerability that exposed 800 million images including SSNs and private financial information. This was the first time that the SEC got directly involved in the internal affairs of a company regarding cybersecurity.
Pearson PLC (a British publishing company) agreed to pay the SEC $1 million in settlements for misleading investors after a 2018 cybersecurity breach resulted in the theft of millions of student records. Pearson said it had “strict protections” in place, but failed to act for six months on the vulnerability after it was notified, the SEC found. In 2019 they disclosed in the annual report that the data breach may have included birth dates and email addresses, but at that point they knew that those records were stolen.
The First American and Pearson cases show both that the SEC (and therefore other regulators around the world) are now taking cybersecurity much more seriously. President Biden in March even declared cybersecurity as one of the top priorities for national security. Therefore IR teams need to make sure that there are proper information flows in place for executives to learn about security issues that might require disclosure and make sure that executives understand the potential consequences of not disclosing. In addition, IROs will need to be prepared to answer in depth questions from investors and analysts about their company’s security measures. And companies and investors need to be aware of the dangers of fake information.
Disinformation – Walmart and Litecoin
Last Monday, a fake press release came out claiming that Walmart would be accepting Litecoin as a payment method, which caused the price of Litecoin to jump about 30% from $175 to $230. This was a classic pump and dump scam; the fraudsters likely held Litecoin, placed the press release, and sold off near its peak before the market got wise.
The astonishing part, and the lesson for IROs and their companies, is that the fake press release went undetected by several large organizations that should have caught it. Even though it contained “statements” from Walmart’s CEO Doug McMillion and Litecoin’s creator Charlie Lee, there were several clues that something was fishy: the email address contact wasn’t an authorized Walmart site “walmart-corp.com”, the press contact doesn’t work in Walmart’s media division, Walmart usually uses Business Wire instead of GlobeNewswire, and Litecoin isn’t one of the top cryptocurrencies which would make it a strange choice for Walmart.
Regardless, it was still published by GlobeNewswire, picked up by outlets like Bloomberg and Reuters, and tweeted about by the Litecoin Foundation. Walmart only found out when reporters called them to confirm and get more details. GlobeNewswire said it will implement, “enhanced authentication steps to prevent this isolated incident from occurring in the future.” The case will surely lead to an SEC investigation and potential additional regulation of cryptocurrencies.
Another example was last year when Kansas City Southern was subject to a fake report in an unknown website called El Negocio, alleging that Blackstone and GIP were raising its offer to buy out the company. The story was picked up by Bloomberg, the stock surged and then declined when the news was denied.
In addition to cybersecurity threats, companies need to have systems in place to detect disinformation campaigns and IROs need to be prepared to answer investor questions.
IR’s Role
IR departments have a vital role to play in ensuring that their companies are accurately disclosing attacks, and addressing investors’ concerns about security and disinformation measures. The transparency and resulting discussion that IR teams will have with investors, will help ensure that security measures are up to the highest current standards. Harvard Business Review put out a set of recommendations for operating in a stricter regulatory environment:
- Form a disclosure committee with senior level employees: conduct surveys every quarter of all areas of the company including cybersecurity, to determine what needs to be disclosed to senior executives and potentially regulators like the SEC.
- Disclose as soon as possible: In the First American Financial case it took 6 months from the time the information security team found out about the breach and the public disclosure. Ensure that your company has an information flow that moves security incidents up the ladder quickly and that executives know they’re also responsible for disclosing according to their respective regulations. Sometimes you’ll need to disclose before the full scope of the incident is understood. You can update the disclosure as the situation progresses. First American would have gotten off with a lighter penalty if they had disclosed right away.
- Assess Risks: understand what your assets are and their criticality to business operations and exposure, to prioritize actions and patches.
- Regular Executive Updates: Give C-level execs a regular update and snapshot of risk level, vulnerabilities, and new developments in the cybersecurity world.
In addition to these recommendations, its key is to be in a position to quickly deny a fake story with Bloomberg and Reuters in the event fraudsters or scammers are manipulating information. And before believing a story or press release, especially one that seems improbable, double check independently the sources before acting on the information.
How Miranda IR Can Help
Miranda IR is happy to help with all IR needs including disclosure strategy, drafting, and dissemination.
Sources
- https://www.nytimes.com/2021/09/13/business/litecoin-walmart-crypto-hoax.html
- https://www.irmagazine.com/technology-social-media/cyber-attacks-are-biggest-threat-company-growth-prospects-say-ceos
- https://www.reuters.com/business/pearson-plc-pay-1-mln-settle-charges-it-misled-investors-us-sec-2021-08-16/
- https://thefly.com/landingPageNews.php?id=3145272&headline=KSU;BX-News-report-vanishes-after-Kansas-City-Southern-stock-surge-Bloomberg-reports
Contacts at Miranda Partners
Damian Fraser
Miranda Partners
damian.fraser@miranda-partners.com
Ana María Ybarra Corcuera
Miranda-IR
ana.ybarra@miranda-ir.com
Los ataques cibernéticos y las campañas de información falsa se están volviendo cada vez más comunes y destructivos. Los inversionistas y reguladores (incluyendo la SEC) han caído en cuenta de esto, por lo que ahora demandan mayor transparencia por parte de las compañías públicas. Los CEOs también están preocupados, según una encuesta de IR Magazine, el 69% en Norteamérica dijo que la seguridad cibernética es la mayor amenaza para las organizaciones (un aumento de 19 puntos porcentuales en comparación con el año pasado), y la preocupación con respecto a información falsa aumentó de 16% a 28%. En el blog de esta semana discutiremos algunos ejemplos recientes de campañas de información falsa, ataques de seguridad cibernética y el rol de RI en prevención y disclosure.
Multas de la SEC por ataques cibernéticos – Pearson PLC y First American Financial Corp.
Durante este verano hubo dos ejemplos de grandes compensaciones y multas relacionadas a incumplimientos y su divulgación deficiente. Esto es indicativo de que la SEC está tomando con mayor seriedad el fallo en divulgación de problemas de seguridad cibernética, pues podrían tener impacto material en la compañía.
First American Financial (una compañía de servicios de bienes raíces) pagó una multa de $500 mil dólares por falta de disclosure después de que un fallo en el sistema expuso 800 millones de imágenes, incluyendo números de seguridad social e información financiera confidencial. Esta fue la primera vez que la SEC se involucró directamente en los asuntos internos de seguridad cibernética de una compañía.
Pearson PLC (una compañía editorial británica) acordó pagar $1 millón de dólares a la SEC como compensación por engañar a los inversionistas después de que un incidente de seguridad cibernética en el 2018 resultara en el robo de millones de expedientes de estudiantes. Pearson recalcó tener “estrictas medidas de protección” establecidas, pero la SEC señaló el error que cometieron al actuar seis meses después de haberse notificado el fallo. En 2019 informaron en su reporte anual que la violación de información pudo haber incluido fechas de nacimiento y correos electrónicos, aunque en ese momento sabían que los expedientes habían sido robados.
Los casos de First American y Pearson muestran que la SEC (y por lo tanto, otros reguladores alrededor del mundo) están tomando con mayor seriedad los asuntos de seguridad cibernética. En marzo de este año el Presidente Biden incluso declaró la seguridad cibernética como una de las prioridades más relevantes para la seguridad nacional. Por lo mismo, los equipos de RI deben asegurar flujos de información adecuados para que los ejecutivos estén enterados de los incumplimientos de seguridad y el disclosure que pudieran requerir, aparte de confirmar que los ejecutivos entiendan las posibles consecuencias de prácticas de divulgación deficientes. Adicionalmente, los IROs deben estar preparados para contestar detalladamente las preguntas de los inversionistas y analistas acerca de las medidas de seguridad de la compañía, aparte de que las compañías e inversionistas deben estar al tanto del peligro de la información falsa.
Información Falsa – Walmart y Litecoin
El pasado lunes se publicó un comunicado falso asegurando que Walmart aceptaría Litecoin como método de pago, causando que el precio de Litecoin subiera alrededor de 30%, de $175 a $230 dólares. Esto fue un ejemplo clásico de estafa, los involucrados en el fraude probablemente tenían Litecoin, publicaron el comunicado y vendieron por completo cuando el precio se aproximaba al máximo, antes de que el mercado se diera cuenta.
Lo más impresionante, y la lección para los IROs y las compañías, es que la publicación del falso comunicado pasó desapercibido por varias organizaciones importantes que debieron darse cuenta. A pesar de que contenía “declaraciones” del CEO de Walmart, Dough McMillion y el creador de Litecoin, Charlie Lee, había varias pistas que levantaban sospecha; el contacto de correo electrónico no era de un sitio autorizado por Walmart “walmart-corp.com”, el contacto de prensa no aplica en la división de media de Walmart, normalmente utilizan Business Wire en lugar de GlobeNewswire, y Litecoin no es una de las criptomonedas más populares, por lo que sería una elección extraña para Walmart.
Sin embargo, fue publicado en GlobeNewswire, así como en plataformas como Bloomberg y Reuters, y tuvo tweets de Litecoin Foundation. Walmart finalmente cayó en cuenta cuando reporteros marcaron para confirmar la noticia y obtener mayor detalle. GlobalNewswire recalcó que implementarán “pasos de autenticación reforzados para evitar que se repita este incidente en el futuro”. El caso seguramente dará paso a una investigación de la SEC y potencialmente a regulación adicional para criptomonedas.
Otro ejemplo sucedió el año pasado, cuando Kansas City Southern fue sujeto de un reporte falso en un sitio web desconocido llamado “El Negocio”, afirmando que Blackstone y GIP aumentaron sus ofertas para comprar la compañía. La noticia fue tomada por Bloomberg, la acción subió de forma importante y luego bajó cuando se desmintió la historia.
Además de amenazas de seguridad cibernética, las compañías deben tener sistemas establecidos para detectar campañas de información falsa y los IROs deben estar preparados para responder las preguntas de los inversionistas.
El rol de RI
Los departamentos de RI tienen un rol vital de asegurar que las compañías cuenten con prácticas de divulgación adecuadas y precisas, en este caso con respecto a ataques cibernéticos, además de atender las preocupaciones de los inversionistas sobre las medidas de seguridad e información falsa. La transparencia y discusión resultante que tengan los equipos de RI con los inversionistas asegurará que las medidas de seguridad estén al nivel de los estándares más actuales. Harvard Business Review publicó una serie de recomendaciones para operar adecuadamente dentro de un ambiente con estrictas regulaciones:
- Crear un comité de disclosure con empleados de nivel senior: realizar encuestas trimestralmente acerca de todas las áreas de la compañía, incluyendo seguridad cibernética, para determinar los temas que deben ser divulgados a ejecutivos senior y reguladores potenciales como la SEC.
- Divulgar tan rápido como sea posible: en el caso de First American Financial, les tomó seis meses actuar desde el momento en que el equipo de seguridad de información cayó en cuenta sobre el fallo y la divulgación pública. Hay que asegurar que la compañía cuente con un flujo de información que priorice los incidentes de seguridad, así como aclarar que los ejecutivos también son responsables sobre la divulgación de acuerdo a sus respectivos reguladores. En ocasiones, se deberá informar antes de que se comprenda por completo el incidente, y la información se puede actualizar mientras progresa la situación. First American hubiera tenido una menor penalización si hubieran informado sobre el incidente de inmediato.
- Evaluar riesgos: entender cuáles son los activos de la compañía y su importancia en las operaciones del negocio, así como su exposición al riesgo, para priorizar acciones.
- Actualizaciones regulares a ejecutivos: Dar actualizaciones regulares a ejecutivos de alto nivel, así como escenarios del nivel de riesgo y nuevos desarrollos dentro de la seguridad cibernética.
Adicional a estas recomendaciones, es clave poder negar una historia falsa rápidamente a través de plataformas como Bloomberg y Reuters, en caso de que las personas involucradas en el fraude o estafa estén manipulando la información. Además, antes de creer una historia o comunicado, especialmente aquellos que parezcan sospechosos, se debe checar dos veces antes de actuar con base en la información, independientemente de la fuente.
Cómo puede ayudar Miranda IR
Miranda IR estará feliz de asesorarlos con todos sus requerimientos de RI, incluyendo estrategia de divulgación, redacción y difusión.
Fuentes
- https://www.nytimes.com/2021/09/13/business/litecoin-walmart-crypto-hoax.html
- https://www.irmagazine.com/technology-social-media/cyber-attacks-are-biggest-threat-company-growth-prospects-say-ceos
- https://www.reuters.com/business/pearson-plc-pay-1-mln-settle-charges-it-misled-investors-us-sec-2021-08-16/
- https://thefly.com/landingPageNews.php?id=3145272&headline=KSU;BX-News-report-vanishes-after-Kansas-City-Southern-stock-surge-Bloomberg-reports
Contactos en Miranda Partners
Damian Fraser
Miranda Partners
damian.fraser@miranda-partners.com
Ana María Ybarra Corcuera
Miranda-IR
ana.ybarra@miranda-ir.com