Комиссия по ценным бумагам и биржам США выдвинула обвинения против SolarWinds и её CISA

30 октября Комиссия по ценным бумагам и биржам США (SEC) выдвинула обвинения против компании-разработчика программного обеспечения SolarWinds Corporation и её директора по информационной безопасности Тимоти Брауна. Их обвиняют в мошенничестве и сбоях внутреннего контроля, связанных с якобы известными рисками и уязвимостями кибербезопасности.

В жалобе SEC, поданной в суд Южного округа Нью-Йорка утверждается, что по крайней мере с момента первичного публичного размещения акций в октябре 2018 года и до объявления в декабре 2020-го о том, что компания стала целью масштабной, почти двухлетней кибератаки SUNBURST компания и лично Браун вводили инвесторов в заблуждение, завышая цену SolarWinds.

SEC заявляет, что в документах SolarWinds, поданных в Комиссию за указанный период, компания раскрывала лишь общие и гипотетические риски. При этом организация и её CISA знали о конкретных недостатках в практике кибербезопасности SolarWinds, а также о возрастающих рисках, с которыми столкнулась компания.

Как утверждается в тексте жалобы, публичные заявления SolarWinds о её методах и рисках в области кибербезопасности противоречили её внутренним оценкам, включая отчёты инженеров компании о том, что настройка удалённого доступа SolarWinds была небезопасна и содержала незакрытые уязвимости. Их эксплуатация третьей стороной могла привести к «серьёзным репутационным и финансовым потерям» для компании, считают авторы документов. Об уязвимом состоянии для критически важных активов организации во внутренних презентациях писал и сам Тимоти Браун в 2018 и 2019 годах.

SEC также заявила, что многочисленные контакты и переписка между сотрудниками SolarWinds, включая CISA, в течение 2019 и 2020 годов ставили под сомнение способность компании защитить свои критически важные активы от кибератак. Комиссия документально подтверждает, что Браун знал о рисках и уязвимостях SolarWinds, но не смог решить проблемы или в достаточной степени поднять их внутри компании. В результате этих упущений компания также не смогла предоставить разумные гарантии того, что её наиболее ценные активы (включая флагманский продукт Orion) были должным образом защищены.

SolarWinds предоставила неполную информацию об атаке SUNBURST в форме 8-K от 14 декабря 2020 года, после чего цена её акций упала примерно на 25% в течение следующих двух дней и примерно на 35% к концу месяца.

Директор отдела правоприменения SEC Гурбир Гревал в своём комментарии к заявлению Комиссии отметил, что «вместо того, чтобы устранить эти уязвимости, SolarWinds и Тимоти Браун начали кампанию по созданию ложной картины среды киберконтроля компании, тем самым лишив инвесторов точной информации». Он призвал все компании-эмитенты внедрять строгие меры контроля, адаптированные к среде риска, и проговаривать с инвесторами известные проблемах.

SEC уверена, что обвиняемые ею нарушили многочисленные законодательные нормы о борьбе с мошенничеством, об отчётности и внутреннем контроле. В жалобе содержится требование о постоянном судебном запрете, возврате инвесторам средств с процентами, предрешающими вынесение решения, гражданско-правовых санкциях, а также запрете лично ИБ-директору Брауну занимать руководящие должности.

31 октября, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

26.02.2024
Крупнейшие российские провайдеры ЦОДов вошли в SDN-лист
26.02.2024
«И вот опять». РКН — об утечке ПДн в полмиллиона строк
26.02.2024
Дипфейки отметились в более чем двух тысячах атак на россиян в этом январе
26.02.2024
Кто ещё попал в прицел Минфина США в этом месяце
26.02.2024
В России готовятся защитить транспортные средства от кибертатак
26.02.2024
Минцифры импортозамещает Digital Markets Act?
26.02.2024
Закон о самозапрете на выдачу кредитов подписан
26.02.2024
В ВТБ рассказали о мошенниках из «налоговой»
26.02.2024
«На Форуме нас ждёт конструктивная дискуссия по самым актуальным вопросам кибербезопасности России»
22.02.2024
Самолётом, поездом, машиной. Базу ПДн туристов расширят

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных