A Comissão de Valores Mobiliários dos Estados Unidos (SEC) acusou a SolarWinds e seu principal executivo de cibersegurança, Timothy Brown, de fraude e falhas de controle interno por supostamente enganar investidores sobre as práticas de cibersegurança da empresa antes de um ataque cibernético realizado por hackers russos em 2019.
Em um comunicado publicado na segunda-feira, a SEC afirmou que a SolarWinds "supostamente enganou investidores ao divulgar apenas riscos genéricos e hipotéticos" em um momento em que a SolarWinds e Brown tinham conhecimento de "deficiências específicas" nas práticas de segurança da SolarWinds e dos crescentes riscos que a empresa enfrentava na época.
A SEC acusou a empresa de fazer alegações, incluindo sobre suas próprias práticas de segurança, que estavam "em desacordo" com suas avaliações internas. Em um caso, a SEC afirmou que Brown, que atualmente atua como diretor de segurança da informação da SolarWinds, fez apresentações nos anos que antecederam o ataque afirmando que as práticas de segurança da empresa estavam em um "estado muito vulnerável".
No entanto, o regulador federal afirmou que Brown não conseguiu levantar adequadamente os riscos de segurança para a empresa ou resolvê-los.
Gurbir S. Grewal, que supervisiona a unidade de fiscalização da SEC, afirmou que a SolarWinds e Brown "ignoraram repetidas bandeiras vermelhas" e "empreenderam uma campanha para retratar uma imagem falsa do ambiente de controle cibernético da empresa, privando assim os investidores de informações materiais precisas".
"As ações de fiscalização de hoje não só acusam apenas a SolarWinds e Brown de enganar o público investidor e de não proteger os 'ativos joias da coroa' da empresa, mas também enfatiza nossa mensagem aos emissores: implementem controles sólidos e adequados para seus ambientes de risco e sejam transparentes com os investidores sobre preocupações conhecidas", disse Grewal.
A SolarWinds foi hackeada já em 2019 por um grupo de hackers ligados ao serviço de inteligência estrangeira da Rússia, que invadiram a rede da SolarWinds e inseriram um backdoor no código do Orion, carro-chefe da empresa para gerenciamento de rede. Quando o software Orion corrompido foi distribuído aos clientes da SolarWinds como uma atualização de software, os hackers ganharam acesso a todas as redes que executavam o software comprometido, incluindo empresas privadas e agências federais.
A invasão foi descoberta quase um ano depois, em 2020, durante a qual vários departamentos do governo dos EUA foram confirmados como comprometidos, incluindo a NASA, o Departamento de Segurança Interna e o Departamento de Justiça, bem como a gigante da segurança FireEye, várias empresas de tecnologia, universidades e hospitais.
A SEC informou a SolarWinds em novembro de 2022 que enfrentaria uma ação de fiscalização após os ataques, alertando que as divulgações de cibersegurança e declarações públicas da empresa estavam sob uma análise minuciosa.
Após a violação, o ex-CEO da SolarWinds, Kevin Thompson, foi duramente criticado por legisladores dos EUA por culpar um estagiário por usar a senha agora infame "solarwinds123" em um servidor de arquivos da SolarWinds por vários anos, até que foi descoberto por um pesquisador de segurança. A SEC afirmou em sua reclamação apresentada em um tribunal federal de Nova York que a simplicidade dessa senha "não estava conforme os requisitos de complexidade de senha declarados pela empresa", o que conflitava com a declaração de segurança divulgadas pela SolarWinds. A SEC afirmou que as "afirmações e omissões da SolarWinds e de Brown em relação a questões de senha não eram apenas falsas e enganosas, mas também materialmente falsas."
Um porta-voz da SolarWinds se recusou a comentar oficialmente no momento da publicação. Em um post de blog publicado logo após o anúncio da SEC, o CEO da SolarWinds, Sudhakar Ramakrishna, acusou a SEC de iniciar uma "ação de fiscalização equivocada e imprópria" contra a empresa e afirmou que a empresa "vai se opor vigorosamente a essa ação."
Alec Koch, advogado de Brown, afirmou que aguarda a oportunidade de defender a reputação de Brown e "corrigir as imprecisões na reclamação da SEC."
Via - TechCrunch
Comments