W poniedziałek 30 października br. Komisja Papierów Wartościowych i Giełd (SEC) wniosła oskarżenie przeciwko produkującej oprogramowanie firmie SolarWinds i jej dyrektorowi ds. bezpieczeństwa informacji (CISO) Timothy’emu G. Brownowi, zarzucając, że wprowadzili oni inwestorów w błąd co do swoich praktyk z zakresu cyberbezpieczeństwa oraz że nie informowali o znanych sobie zagrożeniach.
Zarzuty wynikają z rzekomych oszustw i błędów kontroli wewnętrznej związanych ze znanymi słabościami w cyberbezpieczeństwie, które miały miejsce pomiędzy pierwszą ofertą publiczną spółki w październiku 2018 a ujawnieniem w grudniu 2020 wyrafinowanego cyberataku zwanego „SUNBURST”.
W cyberataku na łańcuch dostaw oprogramowania uczestniczyły powiązane z Rosją ugrupowania cyberprzestępcze, które włamały się do systemów SolarWinds w 2019 roku (a może nawet wcześniej). Hakerzy dostali się do zautomatyzowanego środowiska kompilacji oprogramowania monitorującego Orion i wiosną 2020 roku udostępnili klientom SolarWinds złośliwe aktualizacje Oriona. Pisaliśmy o tym szerzej tutaj.
Zgodnie ze skargą złożoną przez SEC, spółka SolarWinds i Timothy Brown są oskarżani o oszukiwanie inwestorów poprzez wyolbrzymianie praktyk firmy w zakresie cyberbezpieczeństwa przy jednoczesnym bagatelizowaniu znanych zagrożeń lub ich nieujawnianiu. SEC twierdzi, że SolarWinds wprowadziło inwestorów w błąd, ujawniając jedynie niejasne i hipotetyczne ryzyko, jednocześnie wewnętrznie potwierdzając określone braki w cyberbezpieczeństwie i eskalację zagrożeń.
Kluczowym dowodem przytoczonym w pozwie jest wewnętrzna prezentacja z 2018 roku przygotowana przez inżyniera SolarWinds. Stwierdził w niej, że konfiguracja zdalnego dostępu SolarWinds jest „niezbyt bezpieczna” i że wykorzystanie luki może prowadzić do „poważnej utraty reputacji i strat finansowych”. Podobnie prezentacje Browna z lat 2018 i 2019 wskazywały na obawy dotyczące stanu cyberbezpieczeństwa firmy.
W skardze SEC zwrócono również uwagę na komunikację wewnętrzną pomiędzy pracownikami SolarWinds, w tym Browna, w latach 2019 i 2020. Wzbudziła ona wątpliwości co do zdolności firmy do ochrony swoich kluczowych aktywów przed cyberatakami. W czerwcu 2020 roku Brown wyraził obawy, że osoba atakująca może wykorzystać oprogramowanie SolarWinds w większych atakach, zauważając, że „ich backendy nie są tak odporne”. Ponadto w dokumencie wewnętrznym z września 2020, udostępnionym Brownowi i innym osobom stwierdzono, że „ilość problemów związanych z bezpieczeństwem wykrytych w ciągu ostatniego miesiąca [!!!] przekroczyła możliwości rozwiązania ich przez zespoły inżynierów”.
SEC twierdzi, że pomimo świadomości tych zagrożeń i luk w zabezpieczeniach Brown nie zajął się nimi odpowiednio. W rezultacie SolarWinds nie było w stanie zapewnić wystarczającego poziomu ochrony dla najcenniejszych aktywów, w tym flagowego produktu – Oriona.
Niepełne ujawnienie przez SolarWinds ataku SUNBURST w formularzu 8-K z 14 grudnia 2020 roku spowodowało znaczny spadek ceny akcji spółki, o około 25 procent w ciągu następnych dwóch dni i około 35 procent do końca miesiąca.
Gurbir Grewal, dyrektor wydziału ds. egzekwowania przepisów SEC, tak wypowiedział się o zaistniałej sytuacji: „Zarzucamy, że przez lata firma SolarWinds i Brown ignorowali powtarzające się sygnały ostrzegawcze dotyczące zagrożeń cybernetycznych SolarWinds, które były dobrze znane w całej firmie i doprowadziły jednego z podwładnych Browna do wniosku: «Daleko nam do bycia firmą dbającą o bezpieczeństwo». Zamiast zająć się tymi lukami, SolarWinds i Brown zaangażowali się w kampanię mającą na celu namalowanie fałszywego obrazu środowiska kontroli cybernetycznej firmy, pozbawiając w ten sposób inwestorów dokładnych i istotnych informacji”.
Skarga SEC, złożona w południowym dystrykcie Nowego Jorku, zarzuca SolarWinds i Brownowi naruszenie przepisów dotyczących zwalczania nadużyć finansowych wynikających z Ustawy o papierach wartościowych z 1933 roku i Ustawy o giełdzie papierów wartościowych z 1934 roku. SolarWinds jest również oskarżane o naruszenie przepisów dotyczących sprawozdawczości i kontroli wewnętrznej Giełdy, podczas gdy Brownowi zarzuca się współdziałanie w naruszeniach prawa.
Sudhakar Ramakrishna, prezes i dyrektor generalny SolarWinds twierdzi, że przed incydentem SUNBURST firma zachowywała odpowiednie środki kontroli cyberbezpieczeństwa. Jak powiedział, „zdecydowanie sprzeciwi się takim działaniom SEC”. Ramakrishna uważa za niepokojący fakt, że SEC wniosła wobec spółki – jego zdaniem – „błędne i niewłaściwe działania egzekucyjne”.
„Zarzuty SEC stwarzają obecnie ryzyko otwartej wymiany informacji w całej branży, co według ekspertów jest potrzebne dla naszego zbiorowego bezpieczeństwa” – zauważył Ramakrishna w opublikowanym na blogu poście dotyczącym zarzutów. „Ryzykują także pozbawieniem praw wyborczych poważnych specjalistów ds. cyberbezpieczeństwa w całym kraju, usuwając tych «cyberwojowników» z linii frontu. Obawiam się, że te działania zahamują rozwój partnerstw publiczno-prywatnych i szerszą wymianę informacji, czyniąc nas wszystkich jeszcze bardziej podatnymi na ataki związane z bezpieczeństwem”.
Zapowiada się poważna batalia sądowa. Jesteśmy żywo zainteresowani, jak dalej potoczy się ta sprawa. Ciekawe również, jakie będzie miała implikacje w sposobie traktowania cyberbezpieczeństwa przez organizacje. Nie chcę być złym prorokiem, ale znając rynek i pomysły niektórych firm, pewnie procedura natychmiastowego niszczenia raportów związanych z brakiem wystarczających zabezpieczeń informatycznych będzie elementem zarządzenia ryzykiem 
. Inna sprawa, to jak od pewnego czasu czują się klienci SolarWinds…