Комиссия по ценным бумагам и биржам США выдвинула обвинения против SolarWinds и её CISA

30 октября Комиссия по ценным бумагам и биржам США (SEC) выдвинула обвинения против компании-разработчика программного обеспечения SolarWinds Corporation и её директора по информационной безопасности Тимоти Брауна. Их обвиняют в мошенничестве и сбоях внутреннего контроля, связанных с якобы известными рисками и уязвимостями кибербезопасности.

В жалобе SEC, поданной в суд Южного округа Нью-Йорка утверждается, что по крайней мере с момента первичного публичного размещения акций в октябре 2018 года и до объявления в декабре 2020-го о том, что компания стала целью масштабной, почти двухлетней кибератаки SUNBURST компания и лично Браун вводили инвесторов в заблуждение, завышая цену SolarWinds.

SEC заявляет, что в документах SolarWinds, поданных в Комиссию за указанный период, компания раскрывала лишь общие и гипотетические риски. При этом организация и её CISA знали о конкретных недостатках в практике кибербезопасности SolarWinds, а также о возрастающих рисках, с которыми столкнулась компания.

Как утверждается в тексте жалобы, публичные заявления SolarWinds о её методах и рисках в области кибербезопасности противоречили её внутренним оценкам, включая отчёты инженеров компании о том, что настройка удалённого доступа SolarWinds была небезопасна и содержала незакрытые уязвимости. Их эксплуатация третьей стороной могла привести к «серьёзным репутационным и финансовым потерям» для компании, считают авторы документов. Об уязвимом состоянии для критически важных активов организации во внутренних презентациях писал и сам Тимоти Браун в 2018 и 2019 годах.

SEC также заявила, что многочисленные контакты и переписка между сотрудниками SolarWinds, включая CISA, в течение 2019 и 2020 годов ставили под сомнение способность компании защитить свои критически важные активы от кибератак. Комиссия документально подтверждает, что Браун знал о рисках и уязвимостях SolarWinds, но не смог решить проблемы или в достаточной степени поднять их внутри компании. В результате этих упущений компания также не смогла предоставить разумные гарантии того, что её наиболее ценные активы (включая флагманский продукт Orion) были должным образом защищены.

SolarWinds предоставила неполную информацию об атаке SUNBURST в форме 8-K от 14 декабря 2020 года, после чего цена её акций упала примерно на 25% в течение следующих двух дней и примерно на 35% к концу месяца.

Директор отдела правоприменения SEC Гурбир Гревал в своём комментарии к заявлению Комиссии отметил, что «вместо того, чтобы устранить эти уязвимости, SolarWinds и Тимоти Браун начали кампанию по созданию ложной картины среды киберконтроля компании, тем самым лишив инвесторов точной информации». Он призвал все компании-эмитенты внедрять строгие меры контроля, адаптированные к среде риска, и проговаривать с инвесторами известные проблемах.

SEC уверена, что обвиняемые ею нарушили многочисленные законодательные нормы о борьбе с мошенничеством, об отчётности и внутреннем контроле. В жалобе содержится требование о постоянном судебном запрете, возврате инвесторам средств с процентами, предрешающими вынесение решения, гражданско-правовых санкциях, а также запрете лично ИБ-директору Брауну занимать руководящие должности.

31 октября, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

18.09.2025
ВТБ: Переход к своим решениям — один из трендов современного финтеха
18.09.2025
«Россельхозбанк»: Китай и «азиатские тигры» показывают кратно опережающую динамику
18.09.2025
«Локомотив» импортозамещения приходит на конечную станцию?
18.09.2025
В Google Workspace появился новый уровень безопасности
18.09.2025
Число угроз API возросло до 40 тысяч инцидентов в первой половине 2025 года
17.09.2025
«Наша задача — обеспечить максимальное удобство и простоту при работе с почтой»
17.09.2025
К 2028 году — выплаты цифровым рублём, универсальный QR-код, биометрические транзакции
17.09.2025
Природа Камчатки киберочистится на четверо суток
17.09.2025
Синтез ИБ и кооперации в новом формате — конференция CoopDays IV
17.09.2025
Госдеп даёт 11 млн долларов за поимку украинского хакера

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных