Em um desenvolvimento surpreendente na segunda-feira que está assustando a comunidade de segurança cibernética, a Securities and Exchange Commission (SEC) apresentou acusações contra a SolarWinds e seu diretor de segurança da informação (CISO), Timothy G. Brown, alegando que a empresa de software enganou os investidores sobre seu práticas de segurança cibernética e riscos conhecidos.
As acusações decorrem de supostas fraudes e falhas de controle interno relacionadas a vulnerabilidades conhecidas de segurança cibernética que ocorreram entre a oferta pública inicial (IPO) da empresa em outubro de 2018 e a revelação de um ataque cibernético sofisticado em dezembro de 2020 denominado “SUNBURST”.
O ataque cibernético à cadeia de fornecimento de software envolveu agentes de ameaças ligados à Rússia que violaram os sistemas SolarWinds em 2019, ou possivelmente até antes. Os hackers comprometeram o ambiente de construção automatizado do software de monitoramento Orion da empresa e, na primavera de 2020, enviaram atualizações maliciosas do Orion para clientes da SolarWinds.
De acordo com a denúncia apresentada pela SEC, a SolarWinds e a Brown, com sede em Austin, Texas, são acusadas de enganar os investidores ao exagerar as práticas de segurança cibernética da empresa, ao mesmo tempo que subestimam ou deixam de divulgar os riscos conhecidos. A SEC alega que a SolarWinds enganou os investidores ao divulgar apenas riscos vagos e hipotéticos, ao mesmo tempo que reconhecia internamente deficiências específicas de segurança cibernética e ameaças crescentes.
Uma evidência importante citada na reclamação é uma apresentação interna de 2018 preparada por um engenheiro da SolarWinds que foi compartilhada internamente, inclusive com Brown. A apresentação afirmou que a configuração de acesso remoto da SolarWinds “não era muito segura” e que a exploração da vulnerabilidade poderia levar a “grandes perdas financeiras e de reputação” para a empresa. Da mesma forma, as apresentações de Brown em 2018 e 2019 indicaram preocupações sobre a postura de segurança cibernética da empresa.
A denúncia da SEC também aponta para comunicações internas entre funcionários da SolarWinds, incluindo Brown, em 2019 e 2020, que levantaram questões sobre a capacidade da empresa de proteger seus ativos críticos contra ataques cibernéticos. Em junho de 2020, Brown expressou preocupação de que um invasor pudesse usar o software da SolarWinds em ataques maiores, observando que “nossos back-ends não são tão resilientes”. Ademais, um documento interno de setembro de 2020 compartilhado com Brown e outros afirmou que “o volume de problemas de segurança identificados no último mês aumentou [sic] superou a capacidade de resolução das equipes de Engenharia.”
A SEC alega que, apesar de estar ciente desses riscos e vulnerabilidades de segurança cibernética, Brown não conseguiu abordá-los de forma adequada dentro da empresa. Como resultado, a empresa não foi capaz de fornecer garantias razoáveis de que os seus activos mais valiosos, incluindo o seu principal produto Orion, estavam adequadamente protegidos.
A divulgação incompleta da SolarWinds sobre o ataque SUNBURST em um formulário 8-K de 14 de dezembro de 2020 resultou em uma queda significativa no preço das ações da empresa, caindo aproximadamente 25 por cento nos dois dias seguintes e aproximadamente 35 por cento no final do mês .
Gurbir Grewal, Diretor da Divisão de Execução da SEC, declarou: “Alegamos que, durante anos, a SolarWinds e Brown ignoraram repetidos sinais de alerta sobre os riscos cibernéticos da SolarWinds, que eram bem conhecidos em toda a empresa e levaram um dos subordinados de Brown a concluir: ‘Estamos muito longe de ser uma empresa preocupada com a segurança.’ Em vez de abordar essas vulnerabilidades, a SolarWinds e a Brown se engajaram em uma campanha para pintar uma imagem falsa do ambiente de controles cibernéticos da empresa, privando assim os investidores de informações materiais precisas.”
A reclamação da SEC, apresentada no Distrito Sul de Nova York, acusa a SolarWinds e a Brown de violarem as disposições antifraude do Securities Act de 1933 e do Securities Exchange Act de 1934. A SolarWinds também é acusada de violar as disposições de relatórios e controles internos da Bolsa. Act, enquanto Brown é acusado de ter ajudado e incentivado as violações da empresa. A reclamação busca medida cautelar permanente, restituição com juros pré-julgamento, penalidades civis e uma ordem de oficial e diretor contra Brown.
Sudhakar Ramakrishna, presidente e CEO da SolarWinds, afirma que a empresa manteve controles de segurança cibernética apropriados antes do incidente SUNBURST e disse que a empresa “se oporá vigorosamente a esta ação da SEC”.
Ramakrishna diz que é alarmante que a SEC “tenha agora apresentado o que acreditamos ser uma ação de execução equivocada e imprópria” contra a empresa, que ele diz ser um conjunto regressivo de opiniões e ações inconsistentes com o progresso que a indústria precisa fazer e o governo encorajar.
“As acusações da SEC colocam agora em risco a partilha aberta de informações em toda a indústria que os especialistas em segurança cibernética concordam ser necessária para a nossa segurança colectiva”, Ramakrishna abordou as acusações. “Eles também correm o risco de privar profissionais sérios de segurança cibernética em todo o país, tirando esses guerreiros cibernéticos da linha de frente. Preocupo-me que estas ações irão impedir o crescimento de parcerias público-privadas e uma partilha mais ampla de informações, tornando-nos ainda mais vulneráveis a ataques à segurança.”
“Estamos desapontados com as acusações infundadas da SEC relacionadas a um ataque cibernético russo a uma empresa americana e estamos profundamente preocupados que esta ação coloque em risco nossa segurança nacional”, disse um porta-voz da SolarWinds. Semana de Segurança. “A determinação da SEC em fabricar uma reclamação contra nós e o nosso CISO é outro exemplo do exagero da agência e deve alarmar todas as empresas públicas e profissionais de segurança cibernética comprometidos em todo o país. Esperamos esclarecer a verdade em tribunal e continuar a apoiar os nossos clientes através dos nossos compromissos Secure by Design.”
*Atualizado com declaração do porta-voz da SolarWinds.