empresa de tecnología de la información Vientos solaresque fue atacado por un grupo de piratería respaldado por Rusia en 2019 en uno de los peores incidentes de ciberespionaje en la historia de Estados Unidos, cometió fraude durante años antes del ataque y no mantuvo controles internos adecuados, alegó la Comisión de Bolsa y Valores en una demanda.
La demanda presentada el lunes también nombra a Tim Brown, director de seguridad de la información de SolarWinds, y afirma que la compañía exageró sus prácticas de ciberseguridad y subestimó las vulnerabilidades conocidas en los sistemas de la compañía.
Las acciones de SolarWinds cayeron un 1,5% el martes.
«Alegamos que durante años, SolarWinds y Brown ignoraron las repetidas señales de advertencia sobre los riesgos cibernéticos de SolarWinds que eran conocidas en toda la empresa», dijo Gurbir Grewal, director de cumplimiento de la SEC, en un comunicado de prensa.
SolarWinds salió a bolsa en 2018 y solo hizo divulgaciones “generales” sobre riesgos de ciberseguridad tanto en su prospecto como en presentaciones posteriores, dice la denuncia. Sin embargo, la SEC alegó que SolarWinds y Brown sabían que las prácticas de ciberseguridad de la empresa eran débiles, señalando una presentación interna de Brown publicada el mismo mes que SolarWinds se hizo pública.
La «postura de seguridad actual de SolarWinds nos deja en un estado muy vulnerable», escribió Brown en la presentación. La denuncia de la SEC citó numerosos correos electrónicos y mensajes internos que discutían abiertamente las declaraciones supuestamente falsas de la compañía, los riesgos materiales en sus sistemas de ciberseguridad y los productos «plagados» de vulnerabilidades.
Parece ser una de las primeras veces que la SEC acusa a una empresa de engañar y defraudar a los inversores sobre los riesgos de ciberseguridad.
El ataque fue particularmente grave porque numerosas agencias gubernamentales confiaron en el software «joya de la corona» de SolarWinds, Orion.. Orion se utiliza para gestionar tecnología y sistemas de TI. Fue comprometido en 2019 por un grupo alineado con Rusia con nombre en código Nobelium, un hack que pasó desapercibido durante la mayor parte de 2020.
Las innumerables vulnerabilidades conocidas por la empresa no se mencionaron en las divulgaciones regulatorias de la empresa, afirmó la SEC, y algunas condujeron directamente al hackeo de Orion respaldado por Rusia.
«Realmente no sé cómo resolver esta situación», supuestamente dijo un empleado de seguridad de la información mientras describía fallas en su producto estrella Orion a un gerente en un mensaje de 2020 citado en la denuncia. Solarwinds presentó una declaración regulatoria reconociendo el hackeo en diciembre de 2020, un mes después de que el empleado supuestamente enviara un mensaje a su gerente. La presentación fue escrita por Brown junto con otros ejecutivos y firmada por el entonces director ejecutivo de SolarWinds Kevin Thompson.
La SEC alegó que SolarWinds admitió el ataque, pero no reveló que la vulnerabilidad explotada por los piratas informáticos rusos también fue aprovechada para apuntar a otros clientes de SolarWinds, incluidas dos empresas de ciberseguridad no identificadas y una agencia federal no identificada.
La demanda de 68 páginas acusa a la empresa y a Brown de engañar a los inversores sobre el cumplimiento de marcos de ciberseguridad ampliamente aceptados. Esto afirma falsamente que SolarWinds tiene una política de contraseñas estricta y afirma falsamente que SolarWinds tenía controles de acceso estrictos mientras mantenía controles débiles durante «años» que otorgaban a los empleados acceso administrativo «de forma rutinaria y generalizada».
La denuncia también citó supuestas declaraciones erróneas específicas hechas por Brown, quien todavía es el CISO de SolarWinds. Según los informes, de 2019 a 2020, Brown hizo numerosas declaraciones públicas en blogs, podcasts y sitios web en las que afirmaba que la empresa estaba «centrada» en la «higiene» y las «mejores prácticas cibernéticas». En realidad, Brown sabía que la empresa no estaba siguiendo estas mejores prácticas, alegó la SEC.
«Un inversor razonable que estuviera considerando comprar o vender acciones de SolarWinds habría considerado importante conocer el verdadero estado de la seguridad de SolarWinds, particularmente con respecto al estado de los controles de acceso de la compañía para ‘sistemas de información’ y ‘datos confidenciales'», dijo la SEC. dijo en la denuncia.
La demanda se produce mientras las principales empresas se preparan para una nueva regla de divulgación cibernética que requeriría que las empresas informen sobre los incidentes de ciberseguridad a los pocos días de su descubrimiento. Los reguladores están prestando cada vez más atención a los ataques después de importantes infracciones que tuvieron un impacto significativo en empresas desde Clorox hasta MGM Resorts.
En un comunicado el lunes, la compañía dijo que cree que la SEC está llevando a cabo «una acción de ejecución equivocada e inapropiada contra nosotros». SolarWinds también presentó la declaración ante la SEC.
«La verdad es que SolarWinds contaba con controles de ciberseguridad adecuados antes de SUNBURST y desde entonces ha sido líder en la mejora continua de la seguridad del software empresarial basándose en los estándares cambiantes de la industria», dijo el director ejecutivo de SolarWinds, Sudhakar Ramakrishna, en la presentación, citando los nombres en clave de Hack.
Un portavoz de SolarWinds dijo en un comunicado que las acusaciones de la SEC carecían de fundamento y que las impugnaría ante los tribunales. La compañía dijo que ha estado trabajando con la SEC durante tres años y enfatizó que apoya plenamente a Brown, quien continuará desempeñándose como CISO de SolarWinds.
«El Sr. Brown ha trabajado incansable y responsablemente durante su tiempo en SolarWinds para mejorar continuamente la postura de ciberseguridad de la compañía, y esperamos defender su reputación y corregir las inexactitudes en la queja de la SEC», dijo el abogado de Brown, Alec Koch, en una declaración a CNBC. .
Corrección: SolarWinds es una empresa de tecnología de la información. Una versión anterior tergiversaba la industria de la empresa.
