Комиссия по ценным бумагам и биржам США выдвинула обвинения против SolarWinds и её CISA

30 октября Комиссия по ценным бумагам и биржам США (SEC) выдвинула обвинения против компании-разработчика программного обеспечения SolarWinds Corporation и её директора по информационной безопасности Тимоти Брауна. Их обвиняют в мошенничестве и сбоях внутреннего контроля, связанных с якобы известными рисками и уязвимостями кибербезопасности.

В жалобе SEC, поданной в суд Южного округа Нью-Йорка утверждается, что по крайней мере с момента первичного публичного размещения акций в октябре 2018 года и до объявления в декабре 2020-го о том, что компания стала целью масштабной, почти двухлетней кибератаки SUNBURST компания и лично Браун вводили инвесторов в заблуждение, завышая цену SolarWinds.

SEC заявляет, что в документах SolarWinds, поданных в Комиссию за указанный период, компания раскрывала лишь общие и гипотетические риски. При этом организация и её CISA знали о конкретных недостатках в практике кибербезопасности SolarWinds, а также о возрастающих рисках, с которыми столкнулась компания.

Как утверждается в тексте жалобы, публичные заявления SolarWinds о её методах и рисках в области кибербезопасности противоречили её внутренним оценкам, включая отчёты инженеров компании о том, что настройка удалённого доступа SolarWinds была небезопасна и содержала незакрытые уязвимости. Их эксплуатация третьей стороной могла привести к «серьёзным репутационным и финансовым потерям» для компании, считают авторы документов. Об уязвимом состоянии для критически важных активов организации во внутренних презентациях писал и сам Тимоти Браун в 2018 и 2019 годах.

SEC также заявила, что многочисленные контакты и переписка между сотрудниками SolarWinds, включая CISA, в течение 2019 и 2020 годов ставили под сомнение способность компании защитить свои критически важные активы от кибератак. Комиссия документально подтверждает, что Браун знал о рисках и уязвимостях SolarWinds, но не смог решить проблемы или в достаточной степени поднять их внутри компании. В результате этих упущений компания также не смогла предоставить разумные гарантии того, что её наиболее ценные активы (включая флагманский продукт Orion) были должным образом защищены.

SolarWinds предоставила неполную информацию об атаке SUNBURST в форме 8-K от 14 декабря 2020 года, после чего цена её акций упала примерно на 25% в течение следующих двух дней и примерно на 35% к концу месяца.

Директор отдела правоприменения SEC Гурбир Гревал в своём комментарии к заявлению Комиссии отметил, что «вместо того, чтобы устранить эти уязвимости, SolarWinds и Тимоти Браун начали кампанию по созданию ложной картины среды киберконтроля компании, тем самым лишив инвесторов точной информации». Он призвал все компании-эмитенты внедрять строгие меры контроля, адаптированные к среде риска, и проговаривать с инвесторами известные проблемах.

SEC уверена, что обвиняемые ею нарушили многочисленные законодательные нормы о борьбе с мошенничеством, об отчётности и внутреннем контроле. В жалобе содержится требование о постоянном судебном запрете, возврате инвесторам средств с процентами, предрешающими вынесение решения, гражданско-правовых санкциях, а также запрете лично ИБ-директору Брауну занимать руководящие должности.

31 октября, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

03.10.2024
ООО на смарт-контрактах. Минфин даст дорогу киберпредпринимателям
03.10.2024
Банк России прописал требования по работе с ГИС электронного правительства
03.10.2024
В госсекторе удвоился спрос на серверы для работы с ИИ
03.10.2024
Банкиры будут проверять ментальное состояние потенциальных заёмщиков?
03.10.2024
Девиз кибергода в Европе — ThinkB4UClick. На повестке — борьба с социнженерами
03.10.2024
Мошенничество с приложением ЕМИАС набирает обороты
02.10.2024
Антискам-госплатформа «ТелекомЦерта» обойдётся в шесть миллиардов рублей
02.10.2024
ЛК и ИСП РАН создадут Центр КИБ. Что значат все эти аббревиатуры
02.10.2024
Дуров: Telegram раскрывает данные пользователя только при наличии легитимного запроса
02.10.2024
«Произошла забавная путаница». Rutube выпал из орбиты Google

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных