Os Estados Unidos processam a SolarWinds por fraude devido à suposta negligência na segurança cibernética antes do impressionante hackeamento russo dos departamentos de Justiça e Segurança Interna.

Os EUA processam a SolarWinds por fraude após hackeamento russo; Uma segurança cibernética tão frouxa que até os ursos russos puderam entrar!

O principal executivo de segurança da empresa também foi citado na queixa apresentada pela Comissão de Valores Mobiliários e Câmbio dos Estados Unidos (Securities and Exchange Commission – SEC), buscando penalidades civis não especificadas, reembolso dos “ganhos ilícitos” e a remoção do executivo.

Detectado em dezembro de 2020, o hack do SolarWinds penetrou em agências governamentais dos Estados Unidos, incluindo os departamentos de Justiça e Segurança Interna, além de mais de 100 empresas privadas e grupos de estudos. Foi um rude despertar que aumentou a conscientização em Washington sobre a urgência de intensificar os esforços para melhorar a proteção contra invasões.

Na queixa de 68 páginas apresentada em um tribunal federal de Nova York, a SEC afirma que o SolarWinds e seu então vice-presidente de segurança, Tim Brown, enganaram investidores e clientes “por meio de declarações falsas, omissões e esquemas” que ocultaram tanto as “práticas de segurança cibernética insatisfatórias da empresa quanto seus riscos de segurança cibernética elevados – e em crescimento.”

Em comunicado, o SolarWinds classificou as acusações da SEC como infundadas e disse que está “profundamente preocupado que essa ação coloque nossa segurança nacional em risco.”

• A segunda tentativa da administração Biden em aliviar os empréstimo...
• Alibaba aposta em preços agressivos no Dia dos Solteiros para recup...
• O Alibaba atualiza o modelo de IA Tongyi Qianwen e lança modelos es...

Brown desempenhou suas responsabilidades “com diligência, integridade e destaque”, afirmou seu advogado, Alec Koch, em comunicado. Koch acrescentou que “aguardamos ansiosamente para defender sua reputação e corrigir as imprecisões na queixa da SEC.” O cargo atual de Brown no SolarWinds é de diretor de segurança da informação.

O diretor da divisão de aplicação da SEC, Gurbir S. Grewal, disse em comunicado que o SolarWinds e Brown ignoraram “sinais vermelhos repetidos” por anos, pintando “um quadro falso do ambiente de controles cibernéticos da empresa, privando assim os investidores de informações materiais precisas.”

No mês em que o SolarWinds se registrou para uma oferta pública inicial, em outubro de 2018, Brown afirmou em uma apresentação interna que o “estado atual de segurança nos deixa em um estado muito vulnerável”, diz a queixa.

Entre as alegações prejudiciais da SEC: uma apresentação interna do SolarWinds compartilhada naquele ano afirmava que a rede da empresa era “pouco segura”, o que significava que estava vulnerável a invasões que poderiam causar “grande perda financeira e de reputação.” Ao longo de 2019 e 2020, a SEC afirmou que houve múltiplas comunicações entre funcionários do SolarWinds, incluindo Brown, que “questionaram a capacidade da empresa de proteger seus ativos críticos contra ciberataques.”

O SolarWinds, sediado em Austin, Texas, fornece serviços de monitoramento de redes e outros serviços técnicos para centenas de milhares de organizações ao redor do mundo, incluindo a maioria das 500 maiores empresas da ANBLE e agências governamentais na América do Norte, Europa, Ásia e Oriente Médio.

A campanha de espionagem de quase dois anos envolveu a infecção de milhares de clientes por meio da disseminação de malware no canal de atualização do software de gerenciamento de rede da empresa. Aproveitando o hack da cadeia de suprimentos, os operadores cibernéticos russos penetraram furtivamente em alvos selecionados, incluindo pelo menos nove agências governamentais dos Estados Unidos e importantes provedores de software e telecomunicações.

Em seu comunicado, o SolarWinds classificou a ação da SEC como um “exemplo do excesso dessa agência (que) deve alarmar todas as empresas públicas e profissionais comprometidos com a segurança cibernética em todo o país.”

Não explicou como a ação da SEC poderia colocar a segurança nacional em risco, embora alguns na comunidade de segurança cibernética tenham argumentado que responsabilizar pessoalmente os oficiais de segurança da informação corporativa por vulnerabilidades identificadas poderia torná-los menos diligentes ao descobri-las e/ou divulgá-las – e desencorajar pessoas qualificadas a aspirar a essas posições.

Sob a administração Biden, a SEC tem sido agressiva ao responsabilizar empresas de capital aberto por falhas de segurança cibernética e pela falta de divulgação de vulnerabilidades. Em julho, ela adotou regras que exigem que elas divulguem, dentro de quatro dias, todas as violações de segurança cibernética que possam afetar seus resultados financeiros. Atrasos seriam permitidos se a divulgação imediata representar sérios riscos para a segurança nacional ou pública.

As vítimas do hack do SolarWinds cujas contas de e-mail da Microsoft foram violadas incluem o escritório de procuradores federais de Nova York, o então secretário de Segurança Interna Chad Wolf e membros da equipe de segurança cibernética do departamento, cujos trabalhos incluíam rastrear ameaças de países estrangeiros.