Комиссия по ценным бумагам и биржам США выдвинула обвинения против SolarWinds и её CISA

30 октября Комиссия по ценным бумагам и биржам США (SEC) выдвинула обвинения против компании-разработчика программного обеспечения SolarWinds Corporation и её директора по информационной безопасности Тимоти Брауна. Их обвиняют в мошенничестве и сбоях внутреннего контроля, связанных с якобы известными рисками и уязвимостями кибербезопасности.

В жалобе SEC, поданной в суд Южного округа Нью-Йорка утверждается, что по крайней мере с момента первичного публичного размещения акций в октябре 2018 года и до объявления в декабре 2020-го о том, что компания стала целью масштабной, почти двухлетней кибератаки SUNBURST компания и лично Браун вводили инвесторов в заблуждение, завышая цену SolarWinds.

SEC заявляет, что в документах SolarWinds, поданных в Комиссию за указанный период, компания раскрывала лишь общие и гипотетические риски. При этом организация и её CISA знали о конкретных недостатках в практике кибербезопасности SolarWinds, а также о возрастающих рисках, с которыми столкнулась компания.

Как утверждается в тексте жалобы, публичные заявления SolarWinds о её методах и рисках в области кибербезопасности противоречили её внутренним оценкам, включая отчёты инженеров компании о том, что настройка удалённого доступа SolarWinds была небезопасна и содержала незакрытые уязвимости. Их эксплуатация третьей стороной могла привести к «серьёзным репутационным и финансовым потерям» для компании, считают авторы документов. Об уязвимом состоянии для критически важных активов организации во внутренних презентациях писал и сам Тимоти Браун в 2018 и 2019 годах.

SEC также заявила, что многочисленные контакты и переписка между сотрудниками SolarWinds, включая CISA, в течение 2019 и 2020 годов ставили под сомнение способность компании защитить свои критически важные активы от кибератак. Комиссия документально подтверждает, что Браун знал о рисках и уязвимостях SolarWinds, но не смог решить проблемы или в достаточной степени поднять их внутри компании. В результате этих упущений компания также не смогла предоставить разумные гарантии того, что её наиболее ценные активы (включая флагманский продукт Orion) были должным образом защищены.

SolarWinds предоставила неполную информацию об атаке SUNBURST в форме 8-K от 14 декабря 2020 года, после чего цена её акций упала примерно на 25% в течение следующих двух дней и примерно на 35% к концу месяца.

Директор отдела правоприменения SEC Гурбир Гревал в своём комментарии к заявлению Комиссии отметил, что «вместо того, чтобы устранить эти уязвимости, SolarWinds и Тимоти Браун начали кампанию по созданию ложной картины среды киберконтроля компании, тем самым лишив инвесторов точной информации». Он призвал все компании-эмитенты внедрять строгие меры контроля, адаптированные к среде риска, и проговаривать с инвесторами известные проблемах.

SEC уверена, что обвиняемые ею нарушили многочисленные законодательные нормы о борьбе с мошенничеством, об отчётности и внутреннем контроле. В жалобе содержится требование о постоянном судебном запрете, возврате инвесторам средств с процентами, предрешающими вынесение решения, гражданско-правовых санкциях, а также запрете лично ИБ-директору Брауну занимать руководящие должности.

31 октября, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.07.2025
«Национальный мессенджер» закрыл первый миллион
01.07.2025
МТС приготовила всем по маленькому «большому брату»
01.07.2025
NCSC заманивает компании к участию в программе, страдающей из-за недостатка интереса
01.07.2025
ruID как пред-«Госуслуги». Новый сервис для приезжающих в Россию
01.07.2025
«Лидеры рынка уже не ограничиваются точечными инструментами»
01.07.2025
К давлению на Apple подключилась даже нейтральная Швейцария
01.07.2025
АНБ и CISA хотят снизить уязвимость ПО с помощью TRACTORа
30.06.2025
Всё связать до 1 июля: «симку», биометрию, «Госуслуги»
30.06.2025
Нейросетям поставили задачу усовершенствовать бюджетный процесс
30.06.2025
Draugnet послужит демократизации отчётности по киберугрозам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных