SEC обвиняет SolarWinds и CISO в мошенничестве, связанном с кибератакой 2020 года

3 ноября 2023 г.

Директор по информационной безопасности компании SolarWinds Тимоти Дж. Браун получил особое признание за то, что якобы не информировал инвесторов и не принял мер по устранению известных уязвимостей безопасности.

30 октября Комиссия по ценным бумагам и биржам выдвинула обвинения против компании SolarWinds, занимающейся разработкой программного обеспечения для информационной безопасности, и ее директора по информационной безопасности Тимоти Г. Брауна 30 октября. Комиссия по ценным бумагам и биржам утверждает, что Браун совершил мошенничество и не смог решить известные проблемы внутренней безопасности, что в конечном итоге привело к массовым Кибератака Sunburst против федерального правительства США в декабре 2020 года.

Для директоров по информационной безопасности этот случай может стать тревожным звонком, если они работают с государственными учреждениями или клиентами инфраструктуры.

Перейти к:

Предполагаемая вводящая в заблуждение информация SolarWinds о своей практике кибербезопасности Обвинения выдвинуты против директора по информационной безопасности Тимоти Брауна Ответ SolarWinds на претензии SEC Возможное влияние этого обвинения SEC на директоров по информационной безопасности

Предполагаемая вводящая в заблуждение информация SolarWinds о своей практике кибербезопасности

Комиссия по ценным бумагам и биржам (SEC) утверждает, что между первичным публичным размещением акций SolarWinds в октябре 2018 года и объявлением о крупномасштабной кибератаке в декабре 2020 года SolarWinds и Браун, в частности, «… обманули инвесторов, преувеличивая практику кибербезопасности SolarWinds и занижая или не раскрывая известные риски».

По данным SEC, сотрудники SolarWinds, включая Брауна, провели внутренние оценки, которые противоречили обещаниям компании своим клиентам. В презентации, сделанной инженером компании в 2018 году, было установлено, что настройка удаленного доступа SolarWinds «не очень безопасна», что может привести к эксплуатации, при которой злоумышленник «по сути может делать все, что угодно, без нашего обнаружения, пока не станет слишком поздно», установила SEC. .

«Объем проблем безопасности, выявленных за последний месяц, (так в оригинале) превысил возможности инженерных групп по их разрешению», — говорится во внутреннем документе от сентября 2020 года, представленном Брауну, по данным SEC.

Эти проблемы включали в себя базовые передовые методы обеспечения безопасности, такие как отказ от использования паролей по умолчанию.

В некоторых продуктах пароли по умолчанию, такие как «пароль», остались прежними. В заявлении SEC говорится, что также использовался пароль «solarwinds123».

SEE: Как показало исследование, австралийским директорам по информационной безопасности и ИТ-директорам предстоит тяжелая борьба за вовлечение генеральных директоров в технологические темы. (Техреспублик)

Комиссия по ценным бумагам и биржам (SEC) утверждает, что SolarWinds не раскрыла полную информацию об инциденте с кибербезопасностью Sunburst, произошедшем 14 декабря 2020 года. В тот день SolarWinds подала форму 8-K; Это форма, которую SEC требует от организаций заполнять, чтобы официально уведомить инвесторов в случае значительного события. После того, как SolarWinds подала форму 8-K 14 декабря, акции SolarWinds упали на 25% за два дня и на 35% к концу декабря.

Что такое атака Санберст?

В ходе атаки, произошедшей с января 2019 по декабрь 2020 года, известной как Sunburst, злоумышленники, подозреваемые в поддержке российского государства, использовали программное обеспечение Orion SolarWinds, а также эксплойты в продуктах Microsoft и VMware для взлома систем правительственных учреждений США. Государственные субъекты внедрили код в «Орион» и использовали его как лазейку в правительственные учреждения; Пострадали почти 18 000 клиентов SolarWinds. Затем злоумышленники использовали черный ход «… с основной целью шпионажа», по данным Счетной палаты правительства США.

Обвинения выдвинуты против директора по информационной безопасности Тимоти Брауна

Комиссия по ценным бумагам и биржам (SEC) утверждает, что Брауну не удалось устранить слабые места кибербезопасности SolarWinds или убедить остальную часть исполнительной команды в важности этих слабостей. «В результате этих упущений компания якобы также не смогла предоставить разумные гарантии того, что ее наиболее ценные активы, включая ее флагманский продукт Orion, были должным образом защищены», несмотря на то, что SolarWinds продолжает заверять своих клиентов в безопасности их данных, заявила SEC.

Ответ SolarWinds на претензии SEC

SolarWinds отвергает претензии SEC. «Мы разочарованы необоснованными обвинениями SEC, связанными с российской кибератакой на американскую компанию, и глубоко обеспокоены тем, что это действие поставит под угрозу нашу национальную безопасность», — говорится в публичном заявлении SolarWinds, отправленном TechRepublic по электронной почте. «Решимость Комиссии по ценным бумагам и биржам предъявить иск против нас и нашего директора по информационной безопасности является еще одним примером злоупотреблений со стороны агентства и должна встревожить все публичные компании и преданных своему делу профессионалов в области кибербезопасности по всей стране. Мы с нетерпением ждем возможности разъяснить правду в суде и продолжать поддерживать наших клиентов в рамках наших обязательств Secure by Design».

Возможное влияние этого обвинения SEC на директоров по информационной безопасности

«Осознают они это или нет, но директорам по информационной безопасности теперь придется ориентироваться в другой среде личных и профессиональных рисков», — сказал Пол Кэрон, руководитель отдела кибербезопасности в Северной и Южной Америке в S-RM, консалтинговой компании по корпоративной разведке и кибербезопасности, в электронном письме TechRepublic. «На директора по информационной безопасности приходится следовать мнению бизнеса, согласно которому расходы и зрелость контроля соответствуют уровню их коллег… Созданы условия, чтобы каждый директор по информационной безопасности на местах сделал паузу и осознал, что в конечном итоге он тоже может быть привлечен к ответственности за введение в заблуждение. заявления о безопасности программ, которыми они управляют».

Кэрон отметил, что директора по информационной безопасности должны знать об объявленном в июле 2023 года правиле SEC, согласно которому компании должны раскрывать информацию о любом существенном инциденте кибербезопасности в течение четырех дней с момента определения того, что инцидент является существенным.

«Благодаря новым правилам SEC по раскрытию информации и этому обвинению в мошенничестве, по сути, будет более тщательно проверять отчеты о кибербезопасности по всем направлениям», — сказал Кэрон.

«Случай SolarWinds является мощным напоминанием о важном пересечении безопасности и соответствия требованиям», — сказал Игорь Волович, вице-президент по стратегии соответствия требованиям компании Qmulos, в электронном письме TechRepublic. «Безопасность — это то, что вы делаете для защиты активов, данных и репутации вашей организации, а соблюдение требований — это то, как вы доказываете, что делаете это. Однако когда существует разница между вашим фактическим контролем и тем, что вы сообщаете, создается почва для повествования, частью которого ни один руководитель не хочет быть».

Подпишитесь на информационный бюллетень Cybersecurity Insider Укрепите защиту ИТ-безопасности вашей организации, будучи в курсе последних новостей, решений и лучших практик в области кибербезопасности. Доставка по вторникам и четвергам Адрес электронной почты Подписываясь на нашу рассылку, вы соглашаетесь с нашими Условиями использования и Политикой конфиденциальности. Вы можете отписаться в любое время. Подписаться

Оригинал