Η Επιτροπή Κεφαλαιαγοράς των Ηνωμένων Πολιτειών (U.S. Securities and Exchange Commission – SEC) υπέβαλε αγωγή κατά της εταιρείας λογισμικού SolarWinds Corp. και του ανώτατου αξιωματούχου ασφάλειας πληροφοριών της, κατηγορώντας ότι εξαπάτησαν τους επενδυτές κρύβοντας ευπάθειες κυβερνοασφάλειας κατά τη διάρκεια μιας μαζικής κυβερνοεπίθεσης που είχε ως στόχο την κυβέρνηση των Ηνωμένων Πολιτειών.
Η αγωγή της SEC, που κατατέθηκε στο ομοσπονδιακό δικαστήριο του Μανχάταν, κατηγορεί την SolarWinds και τον Timothy Brown, αρχηγό της ασφάλειας πληροφοριών της (CISO), για την επανειλημμένη παραβίαση των αμερικανικών νόμων περί κεφαλαιαγοράς με την απόκρυψη ευπαθειών και περιστατικών κυβερνoασφάλειας σε ρυθμιστικές δηλώσεις και άλλες ανακοινώσεις της εταιρείας.
Η αγωγή που υποβλήθηκε τη Δευτέρα φαίνεται να είναι η πρώτη φορά που η SEC υποβάλλει αγωγή εναντίον μιας εταιρείας που έχει πέσει θύμα κυβερνοεπίθεσης, αντί ταυτόχρονα να επιλύει την υπόθεση.
Η SolarWinds, που έχει την έδρα της στο Όστιν του Τέξας, αντέδρασε έντονα κατά της αγωγής, χαρακτηρίζοντας την ως “υπερβολική” και δηλώνοντας ότι θα αγωνιστεί για την αθωότητά της στα δικαστήρια.
Δήλωσε ότι οι κατηγορίες είναι “αβάσιμες,” θέτουν σε κίνδυνο την εθνική ασφάλεια και ότι τέτοιες δηλώσεις θα “πρέπει να ανησυχούν όλες τις δημόσιες εταιρείες και τους επαγγελματίες της κυβερνoασφάλειας σε ολόκληρη τη χώρα.”
Ο Διευθύνων Σύμβουλος Sudhakar Ramakrishna δήλωσε σε μια ανάρτηση σε blog: “Οι κατηγορίες της SEC τώρα κινδυνεύουν να υπονομεύσουν την ανοιχτή κοινοποίηση πληροφοριών στον κλάδο, την οποία οι ειδικοί συμφωνούν ότι είναι απαραίτητη για την συλλογική μας ασφάλεια”.
Οι μετοχές της SolarWinds μειώθηκαν κατά περισσότερο από 3% μετά το κλείσιμο των χρηματιστηριακών συναλλαγών μετά την κατάθεση της αγωγής.
Οι χάκερ κατάφεραν να χρησιμοποιήσουν το κορυφαίο λογισμικό διαχείρισης δικτύων της SolarWinds, το Orion, ως εφαλτήριο στα κυβερνητικά δίκτυα των Ηνωμένων Πολιτειών και σε άλλους διεθνής στόχους.
Πολλές ομοσπονδιακές υπηρεσίες διακυβέρνησης παραβιάστηκαν, συμπεριλαμβανομένων των Υπουργείων Εξωτερικών, Οικονομικών, Εσωτερικής Ασφάλειας, Εμπορίου και Ενέργειας. Οι πλήρεις συνέπειες της παραβίασης, κάποιες από τις οποίες παρέμεναν κρυμμένες πίσω από στρώματα ταξινόμησης, παραμένουν άγνωστες.
Οι ρυθμιστές ανέφεραν ότι η SolarWinds παραπλάνησε το κοινό σχετικά με επανειλημμένους κυβερνοκινδύνους που αντιμετώπιζε από την αρχή της αρχικής δημόσιας προσφοράς της το 2018 έως και την αποκάλυψη του hacking τον Δεκέμβριο του 2020.
Οι αρχές ανέφεραν ότι ο Timothy Brown είχε εσωτερικά συζητήσεις για γνωστούς κινδύνους και ευπάθειες, αλλά παρουσίαζε στο κοινό μια εντελώς διαφορετική εικόνα, ακόμη και όταν πελάτες, συμπεριλαμβανομένου ενός ομοσπονδιακού οργανισμού, ειδοποίησαν την SolarWinds για κακόβουλη δραστηριότητα στο κυρίαρχο της λογισμικό.
Σύμφωνα με την SEC, τα προβλήματα αυτά οδήγησαν έναν εργαζόμενο της SolarWinds να δηλώσει τον Οκτώβριο του 2020: “Είμαστε τόσο μακριά από το να είμαστε μια εταιρεία με ισχυρά πλαίσια ασφαλείας. Κάθε φορά που ακούω τους επικεφαλής της κυβερνoασφάλειας να μιλούν, θέλω να κάνω εμετό.”
