La Comisión de Bolsa y Valores de EE. UU. (SEC) acusó el lunes por la noche a SolarWinds de mentir a los inversores al “exagerar las medidas de ciberseguridad de SolarWinds y subestimar o no revelar los riesgos conocidos” y anunció que planea acusar a su director de seguridad de la información, Timothy Brown. por cargos de fraude.
La denuncia, presentada en el Distrito Sur de Nueva York, se centra en violaciones de las disposiciones antifraude de la Ley de Valores de 1933 y la Ley de Bolsa de Valores de 1934. La SEC “busca medidas cautelares permanentes contra Brown, restitución del enriquecimiento injusto con intereses previos al juicio, sanciones civiles y suspensión de sus funcionarios y directores”.
Durante meses, la SEC ha señalado planes para acusar a los ejecutivos de SolarWinds por su participación en un ciberataque de casi dos años que el gobierno de Estados Unidos atribuye al Servicio de Inteligencia Exterior de Rusia.
Los piratas informáticos descubrieron una forma de inyectar malware en una versión de la aplicación de monitoreo de TI Orion de la compañía, lo que permitió a los agentes rusos afianzarse en objetivos de alto valor. Utilizaron ese acceso para implementar malware adicional y pasaron meses infiltrándose en sistemas internos y basados en la nube y robando información confidencial.
El ataque permitió a los piratas informáticos rusos penetrar en varias grandes empresas, así como en el Departamento de Defensa, el Departamento de Justicia, el Departamento de Comercio, el Departamento del Tesoro, el Departamento de Seguridad Nacional, el Departamento de Estado y el Departamento de Energía.
La SEC dijo que entre su oferta pública inicial en octubre de 2018 y al menos el anuncio del hack en diciembre de 2020, SolarWinds “preocupaba que la compañía y el Sr. Brown “A pesar de conocer los mayores riesgos que enfrentaba, engañó a los inversores al revelar solo información general y riesgos hipotéticos.”
“Alegamos que SolarWinds y Brown ignoraron las repetidas advertencias de SolarWinds sobre los riesgos cibernéticos durante años. Esto era bien conocido dentro de la empresa, y uno de los subordinados de Brown dijo: ‘Estamos lejos de ser una empresa consciente de la seguridad'”, dijo Gurbir Grewal. director de la División de Cumplimiento de la SEC.
“En lugar de abordar estas vulnerabilidades, SolarWinds y Brown emprendieron una campaña para pintar una imagen falsa del entorno de gestión cibernética de la empresa y privar a los inversores de información precisa y crítica. La acción de cumplimiento de hoy no solo acusa a SolarWinds y Brown de engañar a los inversores y no proteger los “activos más importantes” de la empresa, pero también refuerza nuestro mensaje a los emisores. Implemente controles sólidos adaptados al entorno de riesgo y eduque a los inversores sobre las preocupaciones conocidas. “
Brown enfrenta cargos relacionados con fraude y deficiencias de control interno debido a que las declaraciones públicas de la compañía fueron “inconsistentes con las evaluaciones internas, incluida una presentación de 2018 preparada por ingenieros internos y compartida internamente”.
“Estamos decepcionados por las acusaciones infundadas de la SEC sobre los ciberataques rusos contra empresas estadounidenses y estamos profundamente preocupados de que esta acción pueda poner en peligro nuestra seguridad nacional”, dijo un portavoz de SolarWinds en un comunicado. “La determinación de la SEC de inventar cargos contra nuestra empresa y nuestro CISO es otro ejemplo de la extralimitación de la agencia y debería alarmar a todas las empresas públicas y profesionales de la ciberseguridad en todo el país. Esperamos descubrir la verdad en los tribunales y continuar apoyando a nuestros clientes a través de nuestro sistema. Esfuerzos de seguridad mediante diseño.”
El abogado del Sr. Brown dijo que “cumplió sus funciones con diligencia, integridad y excelencia. Durante su tiempo en SolarWinds, el Sr. Brown trabajó incansablemente y con un sentido de responsabilidad para mejorar continuamente la postura de ciberseguridad de la empresa. Esperamos defenderlo”. su reputación y corrigiendo las inexactitudes en la denuncia de la SEC”.
Según la SEC, un informe interno compartido con Brown decía que la configuración de acceso remoto de SolarWinds “no era muy segura” y que quienes explotan el problema “básicamente esperan hasta que sea demasiado tarde”. Pueden hacer cualquier cosa sin que nosotros nos demos cuenta. “, lo que podría provocar un “daño financiero y de reputación significativo” para SolarWinds.
La SEC dijo que Brown afirmó en presentaciones de 2018 y 2019 que “el panorama de seguridad actual deja los activos críticos altamente vulnerables”.[a]Acceso y privilegios inadecuados a sistemas/datos críticos. “
Hubo múltiples mensajes entre Brown y otros empleados de SolarWinds cuestionando la capacidad de la empresa para proteger sus activos críticos de los ataques cibernéticos.
En un incidente que involucró un ciberataque a un cliente de SolarWinds, la denuncia de la SEC alega que los atacantes intentaron utilizar el software Orion de SolarWinds para un ataque más grande “porque nuestro backend no es tan resistente. Hay evidencia de que reconoció que pudo haberlo hecho”. entonces.
En septiembre de 2020, Brown recibió un informe de los empleados que decía: “La cantidad de problemas de seguridad identificados en el último mes es… [sic] Ha superado la capacidad del equipo de ingeniería para resolverlo. “
A Brown se le acusa de estar al tanto de los problemas de ciberseguridad de la empresa, pero no logró resolverlos ni llevarlos a un nivel superior dentro de la empresa.
La SEC también dijo que la divulgación de la compañía sobre un ciberataque de diciembre de 2020, comúnmente conocido como “Sunburst”, estaba incompleta.
Reuters informó en junio que la SEC había enviado cartas de Wells a varios ejecutivos actuales y anteriores. Un Aviso de Wells es una carta enviada por la SEC a una persona que puede estar sujeta a una acción coercitiva. El aviso le da al sospechoso 30 días para presentar una apelación y argumentar por qué no debería estar sujeto a una demanda civil.
El año pasado, la empresa con sede en Texas pagó un acuerdo de 26 millones de dólares a los accionistas en una demanda relacionada con el incidente de piratería informática. Sin embargo, la SEC emitió un aviso de Wells en noviembre, sugiriendo que la compañía engañó al público con comentarios sobre sus protecciones de ciberseguridad antes del ciberataque.
Los cargos se presentaron a principios de este año cuando Joe Sullivan, ex director de seguridad de Uber, fue sentenciado por un juez federal de EE. UU. a tres años de libertad condicional por su manejo de una violación de datos. Esto seguramente reavivará las preocupaciones entre los CISO sobre su trabajo. responsabilidades.
Fuente: https://therecord.media/solarwinds-ciso-sec-charged