30 октября Комиссия по ценным бумагам и биржам США (SEC) выдвинула обвинения против компании-разработчика программного обеспечения SolarWinds Corporation и её директора по информационной безопасности Тимоти Брауна. Их обвиняют в мошенничестве и сбоях внутреннего контроля, связанных с якобы известными рисками и уязвимостями кибербезопасности.
В жалобе SEC, поданной в суд Южного округа Нью-Йорка утверждается, что по крайней мере с момента первичного публичного размещения акций в октябре 2018 года и до объявления в декабре 2020-го о том, что компания стала целью масштабной, почти двухлетней кибератаки SUNBURST компания и лично Браун вводили инвесторов в заблуждение, завышая цену SolarWinds.
SEC заявляет, что в документах SolarWinds, поданных в Комиссию за указанный период, компания раскрывала лишь общие и гипотетические риски. При этом организация и её CISA знали о конкретных недостатках в практике кибербезопасности SolarWinds, а также о возрастающих рисках, с которыми столкнулась компания.
Как утверждается в тексте жалобы, публичные заявления SolarWinds о её методах и рисках в области кибербезопасности противоречили её внутренним оценкам, включая отчёты инженеров компании о том, что настройка удалённого доступа SolarWinds была небезопасна и содержала незакрытые уязвимости. Их эксплуатация третьей стороной могла привести к «серьёзным репутационным и финансовым потерям» для компании, считают авторы документов. Об уязвимом состоянии для критически важных активов организации во внутренних презентациях писал и сам Тимоти Браун в 2018 и 2019 годах.
SEC также заявила, что многочисленные контакты и переписка между сотрудниками SolarWinds, включая CISA, в течение 2019 и 2020 годов ставили под сомнение способность компании защитить свои критически важные активы от кибератак. Комиссия документально подтверждает, что Браун знал о рисках и уязвимостях SolarWinds, но не смог решить проблемы или в достаточной степени поднять их внутри компании. В результате этих упущений компания также не смогла предоставить разумные гарантии того, что её наиболее ценные активы (включая флагманский продукт Orion) были должным образом защищены.
SolarWinds предоставила неполную информацию об атаке SUNBURST в форме 8-K от 14 декабря 2020 года, после чего цена её акций упала примерно на 25% в течение следующих двух дней и примерно на 35% к концу месяца.
Директор отдела правоприменения SEC Гурбир Гревал в своём комментарии к заявлению Комиссии отметил, что «вместо того, чтобы устранить эти уязвимости, SolarWinds и Тимоти Браун начали кампанию по созданию ложной картины среды киберконтроля компании, тем самым лишив инвесторов точной информации». Он призвал все компании-эмитенты внедрять строгие меры контроля, адаптированные к среде риска, и проговаривать с инвесторами известные проблемах.
SEC уверена, что обвиняемые ею нарушили многочисленные законодательные нормы о борьбе с мошенничеством, об отчётности и внутреннем контроле. В жалобе содержится требование о постоянном судебном запрете, возврате инвесторам средств с процентами, предрешающими вынесение решения, гражданско-правовых санкциях, а также запрете лично ИБ-директору Брауну занимать руководящие должности.