Pirmdien notika pārsteidzošs notikums, kas uztrauc kiberdrošības kopienu – Vērtspapīru un biržu darījumu komisija (SEC – Securities and Exchange Commission) ir izvirzījusi apsūdzības pret SolarWinds un tās galveno informācijas drošības direktoru (CISO – Chief Information Security Officer) Timotiju G. Braunu. Tiek apgalvots, ka programmatūras uzņēmums ir maldinājis investorus par savu kiberdrošības praksi un zināmajiem riskiem.
Apsūdzības ir saistītas ar iespējamu krāpšanu un iekšējās kontroles nepilnībām saistībā ar zināmajiem kiberdrošības trūkumiem. Tas notika laikā no uzņēmuma sākotnējā publiskā piedāvājuma (IPO – initial public offering) 2018. gada oktobrī līdz sarežģīta kiberuzbrukuma, ko dēvēja par “SUNBURST”, atklāšanai 2020. gada decembrī.
Programmatūras piegādes ķēdes (supply chain) kiberuzbrukumā bija iekļauti ar Krieviju saistīti Draudu dalībnieki (threat actors), kas uzlauza SolarWinds sistēmas 2019. gadā vai, iespējams, pat agrāk. Hakeri kompromitēja uzņēmuma Orion monitoringa programmatūras automātiskās izveides vidi (automatic build environment). Pēc tam 2020. gada pavasarī viņi SolarWinds klientiem izsūtīja kompromitētus Orion atjauninājumus.
Saskaņā ar SEC iesniegto sūdzību, SolarWinds un Brauns tiek apsūdzēti par investoru maldināšanu, pārspīlējot uzņēmuma kiberdrošības praksi, un vienlaikus nenovērtējot vai neatklājot informāciju par zināmajiem riskiem. SEC apgalvo, ka SolarWinds maldināja investorus, atklājot tikai neskaidrus un hipotētiskus riskus, lai gan iekšēji atzina konkrētus kiberdrošības trūkumus un pieaugošus draudus.
Galvenais pierādījums, kas minēts sūdzībā, ir SolarWinds inženiera sagatavota 2018. gada prezentācija, kas tika kopīgota iekšēji, tostarp ar Braunu. Prezentācijā bija teikts, ka SolarWinds attālinātās piekļuves iestatījumi nebija pārāk droši un šīs ievainojamības izmantošana varēja radīt uzņēmumam lielus reputācijas un finansiālus zaudējumus. Līdzīgi arī 2018. un 2019. gadā Brauna prezentācijās tika paustas bažas par uzņēmuma kiberdrošības stāvokli.
SEC sūdzībā arī norādīts uz SolarWinds darbinieku, tostarp Brauna, iekšējo saziņu 2019. un 2020. gadā, kas radīja jautājumus par uzņēmuma spēju aizsargāt savus kritiskos aktīvus no kiberuzbrukumiem. Brauns 2020. gada jūnijā pauda bažas, ka uzbrucējs varētu izmantot SolarWinds programmatūru lielākos uzbrukumos, norādot “mūsu backends nav tik elastīgs”.
Turklāt 2020. gada septembra iekšējā dokumentā, ar kuru bija dalījies Brauns un citi, bija teikts: “Pēdējā mēneša laikā identificēto drošības problēmu apjoms ir pārsniedzis inženieru komandu spēju tās atrisināt”.
SEC apgalvo, ka Brauns, lai gan bija informēts par šiem kiberdrošības riskiem un ievainojamībām, uzņēmumā tos pienācīgi nenovērsa. Tā rezultātā uzņēmums nespēja sniegt pamatotas garantijas, ka tā vērtīgākie aktīvi, tostarp tā galvenais produkts Orion, ir pienācīgi aizsargāti.
SolarWinds nepilnīga informācijas atklāšana par SUNBURST uzbrukumu 2020. gada 14. decembra 8-K veidlapā izraisīja ievērojamu uzņēmuma akciju cenas kritumu. Tas nākamajās divās dienās samazinājās par aptuveni 25 procentiem un mēneša beigās – par aptuveni 35 procentiem.
Gurbirs Grevals, SEC Tiesībaizsardzības departamenta direktors, paziņoja: “Mēs apgalvojam, ka SolarWinds un Brauns gadiem ilgi ignorēja atkārtotus sarkanos karodziņus par SolarWinds kiberdraudiem. Tie bija labi zināmi visā uzņēmumā un lika vienam no Brauna padotajiem secināt: “Mēs esam tālu no tā, lai būtu uzņēmums, kas domā par drošību. Tā vietā, lai novērstu šīs ievainojamības, SolarWinds un Brauns iesaistījās kampaņā, lai radītu nepatiesu priekšstatu par uzņēmuma kiberdrošības vidi, tādējādi liedzot investoriem precīzu būtisku informāciju.”
SEC sūdzībā, kas iesniegta Ņujorkas Dienvidu apgabalā, SolarWinds un Brauns tiek apsūdzēti 1933. gada Vērtspapīru likuma un 1934. gada Vērtspapīru biržas likuma noteikumu pārkāpšanā. SolarWinds tiek apsūdzēts arī par Biržas likuma noteikumu par pārskatu sniegšanu un iekšējo kontroli pārkāpšanu, savukārt Brauns tiek apsūdzēts, ka ir palīdzējis un atbalstījis uzņēmuma pārkāpumus. Sūdzībā tiek prasīts pastāvīgs tiesas aizliegums, zaudējumu atlīdzināšana ar soda procentiem, civiltiesiskas sankcijas, kā arī aizliegums Braunu iecelt amatpersonu un direktoru amatos.
SolarWinds prezidents un izpilddirektors Sudhakar Ramakrishna apgalvo, ka uzņēmums pirms SUNBURST incidenta veica atbilstošu kiberdrošības kontroli, un teica, ka uzņēmums enerģiski iestāsies pret šo SEC rīcību.
Ramakrishna uzskata par satraucošu to, ka SEC tagad ir iesniegusi kļūdainu un neatbilstošu izpildes prasību pret uzņēmumu. Tas, viņaprāt, ir regresīvs uzskatu un darbību kopums, kas neatbilst nozarei nepieciešamajam un valdības veicinātajam progresam.
“SEC izvirzītās apsūdzības tagad apdraud atklātu informācijas apmaiņu visā nozarē, kas, kā atzīst kiberdrošības eksperti, ir nepieciešama mūsu kopējai drošībai,” Ramakrišna norādīja bloga ierakstā, pievēršoties šīm apsūdzībām.
“Tās arī rada risku, ka nopietniem kiberdrošības profesionāļiem visā valstī tiks liegtas tiesības piedalīties cīņā par kiberdrošību un ka šie kiberdrošības karavīri tiks izņemti no pirmajām līnijām.
“Tās arī rada risku, ka nopietniem kiberdrošības profesionāļiem visā valstī tiks liegtas tiesības piedalīties cīņā par kiberdrošību, un, ka šie kiberdrošības karavīri tiks izņemti no pirmajām līnijām. Esmu nobažījies, ka šīs darbības kavēs publiskā un privātā sektora partnerības un plašākas informācijas apmaiņas izaugsmi, padarot mūs visus vēl neaizsargātākus pret drošības uzbrukumiem.”
“Mēs esam vīlušies par SEC nepamatotajām apsūdzībām saistībā ar Krievijas kiberuzbrukumu Amerikas uzņēmumam un esam ļoti nobažījušies, ka šī rīcība apdraudēs mūsu nacionālo drošību,” izdevumam SecurityWeek sacīja SolarWinds pārstāvis.
“SEC lēmums safabricēt prasību pret mums un mūsu CISO ir vēl viens piemērs aģentūras pārspīlētajai rīcībai. Tam vajadzētu satraukt visus publiskos uzņēmumus un apņēmīgos kiberdrošības speciālistus visā valstī. Mēs ceram noskaidrot patiesību tiesā un turpināt atbalstīt savus klientus, pildot savas Secure by Design saistības.”
