La Comisión de Bolsa y Valores acusa a SolarWinds y su CISO Timothy Brown de fraude y deficiencias de control interno por engañar a los inversores sobre las prácticas de ciberseguridad que llevaron al ataque Sunburst de diciembre de 2020.
La SEC alegó el lunes que la compañía exageró sus medidas de ciberseguridad y no reveló los riesgos conocidos desde octubre de 2018, cuando se hizo pública, hasta al menos el ataque Sunburst.
Según la denuncia de la SEC, las declaraciones públicas de la empresa contradicen las evaluaciones internas, incluida una evaluación de 2018 realizada por un ingeniero de la empresa compartida con Brown y otros, que encontró que la configuración de acceso remoto de la empresa “no era muy segura”.
Los funcionarios de la SEC alegan que SolarWinds y Braun ignoraron repetidamente las señales de alerta que ponía en peligro la ciberseguridad de la empresa.
“En lugar de abordar estas vulnerabilidades, SolarWinds y Brown emprendieron una campaña que pintó una imagen falsa del entorno de gestión cibernética de la empresa y privó a los inversores de información precisa y crítica”, dijo en un comunicado el director de la División de Cumplimiento de la SEC, Gurbir Grewal.
La denuncia presentada en el Distrito Sur de Nueva York alega que SolarWinds violó las disposiciones antifraude de la Ley de Valores de 1933 y la Ley de Bolsa de Valores de 1934.
La SEC también alega que SolarWinds violó las disposiciones de información y control interno de la Ley de Bolsa y que el Sr. Brown ayudó en esas violaciones.
La SEC busca una orden judicial permanente, la restitución del enriquecimiento injusto con intereses previos al juicio, sanciones civiles y la prohibición del Sr. Brown de desempeñarse como funcionario o director.
El director ejecutivo de SolarWinds, Sudhakar Ramakrishna, respondió a las acusaciones en una publicación de blog, calificando los cargos de la SEC como una “acción de cumplimiento equivocada e inapropiada”. La compañía incluyó la publicación en su presentación regulatoria 8-K ante la SEC el lunes.
Los cargos contra SolarWinds podrían tener un impacto importante en los CISO de empresas de todo el país a medida que la SEC aumenta su escrutinio de los ejecutivos.
“Los CISO sólo pueden hacer lo que el resto de la organización y otros ejecutivos les permiten hacer”, dijo en un correo electrónico Jeff Pollard, vicepresidente y analista principal de Forrester. “Esto es parte de la base de la acción de la SEC, alegando que el CISO no comunicó estos problemas y su gravedad a otros líderes dentro de la empresa”.
Pollard advirtió que si Brown planteaba preocupaciones y la dirección lo ignoraba, parecía ser un objetivo.
Brown se unió a SolarWinds en 2017 como vicepresidente de seguridad y posteriormente fue ascendido a CISO en mayo de 2021.
Según la SEC, un documento interno compartido con Brown y otros en septiembre de 2020 afirmaba que la cantidad de problemas de seguridad “identificados durante el último mes” excedía la capacidad del equipo de ingeniería para resolverlos.
Según la SEC, SolarWinds también hizo divulgaciones incompletas en su presentación del Formulario 8-K del 14 de diciembre de 2020. El precio de las acciones de la empresa cayó un 25% durante los dos días siguientes.
SolarWinds cuestionó las acusaciones en un comunicado.
“Estamos decepcionados por las acusaciones infundadas de la SEC sobre ciberataques rusos contra empresas estadounidenses y estamos profundamente preocupados de que esta acción pueda poner en peligro nuestra seguridad nacional”, dijo la compañía en un comunicado. “La determinación de la SEC de fabricar cargos contra nuestra empresa y nuestro CISO es otro ejemplo de la extralimitación de la agencia y debería alarmar a todas las empresas públicas y profesionales de la ciberseguridad en todo el país”.
Los cargos se producen después de que la SEC notificara a la empresa y al Sr. Brown en junio sobre las posibles acciones tomadas como resultado de la investigación.
Fuente: https://www.cybersecuritydive.com/news/sec-fraud-charges-solarwinds/698259/