[ Tráfego 9/Out a 7/Nov: 364.836 page views - 139.188 usuários ] - [ Newsletter 5.526 assinantes Open rate 27%]

SEC processa SolarWinds alegando controles falhos

Da Redação
01/11/2023

A Comissão de Valores Mobiliários (SEC) dos Estados Unidos moveu na segunda-feira, 30 de outubro, uma ação judicial contra SolarWinds na qual acusa a empresa de “enganar” os investidores em relação aos controles internos e práticas de segurança cibernética. Em dezembro de 2020, a fabricante de software teve o seu sistema de monitoramento de TI Orion hackeado, o que culminou em um dos piores incidentes de espionagem cibernética da história dos EUA, afetando várias agências governamentais e de inteligência do país.

A SEC diz que a SolarWinds não conseguiu manter controles internos adequados durante anos antes e subestimou vulnerabilidades nos sistemas da empresa. De acordo com o texto do processo, a fabricante de software, que abriu o capital em 2018, fez apenas divulgações “genéricas” sobre o risco de segurança cibernética tanto em seu prospecto quanto em registros contínuos.

A SEC alega que tanto a SolarWinds quanto o seu diretor de segurança da informação, Timothy G. Brown — que também foi processado pelas autoridades regulatórias — sabiam que as práticas de segurança cibernética eram fracas e as vulnerabilidades conhecidas. A Comissão de Valores Mobiliários cita uma apresentação interna feita por Brown no mesmo mês em que a empresa abriu o capital em que reconhecia o problema, mas que teria divulgado apenas riscos teóricos para os investidores.

Brown também teria expressado preocupações em junho de 2020 de que os invasores pudessem usar o software Orion — que foi trojanizado por hackers russos para violar os sistemas dos clientes meses depois — como uma ferramenta em ataques futuros porque os sistemas de back-end da empresa não eram “resilientes”. “O atual estado de segurança da SolarWinds nos deixa em um estado muito vulnerável”, escreveu o executivo. 

A ação da SEC cita também vários e-mails e mensagens internas que discutiam abertamente supostas declarações falsas feitas pela empresa sobre riscos materiais em seus sistemas de segurança cibernética e produtos “crivados” de vulnerabilidades.

“Alegamos que, durante anos, a SolarWinds e Brown ignoraram repetidas bandeiras vermelhas sobre os riscos cibernéticos da SolarWinds, que eram bem conhecidas em toda a empresa e levaram um dos subordinados de Brown a concluir: ‘Estamos muito longe de ser uma empresa preocupada com a segurança'”, disse Gurbir S. Grewal, chefe da Divisão de Fiscalização da SEC.

“Em vez de abordar essas vulnerabilidades, a SolarWinds e Brown se engajaram em uma campanha para pintar uma imagem falsa do ambiente de controles cibernéticos da empresa, privando assim os investidores de informações materiais precisas.”

Dois meses antes do ataque, a SEC diz que um documento interno da SolarWinds revelou que as equipes de engenharia não eram mais capazes de acompanhar uma longa lista de novos problemas de segurança que tinham que resolver.

“É alarmante que a SEC tenha agora apresentado o que acreditamos ser uma ação [judicial] equivocada e imprópria contra nós, representando um conjunto regressivo de visões e ações inconsistentes com o progresso que a indústria precisa fazer e o governo incentiva”, disse o presidente e CEO da SolarWinds, Sudhakar Ramakrishna, em resposta às acusações que constam da ação da SEC. 

“Fizemos uma escolha deliberada de falar, com franqueza e frequência, com o objetivo de compartilhar o que aprendemos para ajudar os outros a se tornarem mais seguros. Fizemos uma parceria estreita com o governo e incentivamos outras empresas a serem mais abertas sobre segurança, compartilhando informações e melhores práticas”, completou o executivo, acrescentando que “as acusações da SEC agora arriscam o compartilhamento aberto de informações em todo o setor que os especialistas em segurança cibernética concordam ser necessário para nossa segurança coletiva”.

Veja isso
SolarWinds adota novo modelo de criação de software após ataque
SolarWinds processada por negligência em segurança

O grupo russo APT29 violou os sistemas internos da SolarWinds e trojanizou a plataforma de administração de TI Orion e compilações subsequentes lançadas entre março de 2019 e junho de 2020. As compilações maliciosas foram usadas para lançar a backdoor Sunburst nos sistemas de “cerca de 18 mil” vítimas.

A SolarWinds tem mais de 300 mil clientes em todo o mundo e 96% das empresas da Fortune 500, incluindo todas as dez principais empresas de telecomunicações dos EUA, Apple, Google, Amazon e uma longa lista de agências governamentais, como as Forças Armadas, o Pentágono, o Departamento de Estado, a NASA, a Agência de Segurança Nacional (NSA), o Serviço Postal e o Departamento de Justiça dos EUA, além do o gabinete da Presidência da República. Com agências de notícias internacionais e mídias dos EUA.

Compartilhar: