La Comisión de Bolsa y Seguridad (SEC) acusó a SolarWinds Corp., junto con su CISO Tim Brown, de fraude y fallas de control interno relacionadas con el ciberataque a la cadena de suministro de 2020 a la plataforma Orion de la compañía; en última instancia, llevó al compromiso de los departamentos del gobierno estadounidense por parte de la inteligencia rusa.
Los cargos ya están causando conmoción en toda la comunidad CISO.
Lo que está en juego, según la SEC, es la discrepancia entre lo que Brown y otros Vientos solares los empleados decían internamente frente a lo que revelaban a los inversores.
Los mensajes internos revelaron que los empleados eran muy conscientes de que estaban engañando a los clientes tras el descubrimiento de la vulnerabilidad de Orion, la La SEC explicó en su denuncia.
"Bueno, acabo de mentir"
“Poco después del ataque de octubre de 2020 contra la empresa de ciberseguridad B, los empleados de SolarWinds, incluido Brown, reconocieron similitudes entre el ataque a la agencia A del gobierno de EE. UU.”, decía la denuncia de la SEC. “Pero cuando el personal de la Empresa de Ciberseguridad B preguntó a los empleados de SolarWinds si habían visto anteriormente una actividad similar, el Empleado de InfoSec F dijo falsamente a la Empresa de Ciberseguridad B que no habían visto. Luego le envió un mensaje a un colega: 'Bueno, simplemente mentí'”.
Pero la falta de implementación de controles de ciberseguridad adecuados en SolarWinds comenzó ya en 2018, según el regulador. La SEC alega que Brown estaba al tanto de las advertencias sobre las vulnerabilidades de la empresa, pero las ignoró, incluida una presentación de 2018 de un ingeniero de SolarWinds que señaló la configuración de acceso remoto de la empresa como "no muy segura" y explicó que un actor de amenazas podría usarla para " Básicamente hacer lo que sea sin que lo detectemos hasta que sea demasiado tarde”, dice el documento.
Al ignorar estas advertencias sobre la postura de ciberseguridad de la empresa y no plantear el problema en la cadena de mando, la SEC alega que Brown dejó intencionalmente los sistemas de la empresa desprotegidos.
Brown acusado de vender acciones infladas de SolarWinds
SolarWinds presentó una divulgación 8-K incompleta ante la SEC en diciembre de 2020 y Brown se benefició personalmente del precio inflado de las acciones, según los cargos.
"El precio de las acciones de SolarWinds fue inflado por las declaraciones erróneas, omisiones y esquemas discutidos en esta denuncia", dijo la SEC.
La SEC acusó además a Brown de vender acciones infladas de SolarWinds antes de que su valor se desplomara una vez que se hizo público el impacto total del compromiso. Entre febrero de 2020 y finales de agosto de 2020, Brown vendió 9,000 acciones de SolarWinds con una ganancia de 170,000 dólares, según los registros de la Bolsa de Valores de Nueva York proporcionados por la SEC. A finales de diciembre de 2020, el precio de las acciones de SolarWinds cayó un 35%.
Otros cargos incluyen que SolarWinds haya hecho “declaraciones materialmente falsas y engañosas” sobre sus prácticas de ciberseguridad al afirmar que programas como el marco del Instituto Nacional de Estándares y Tecnología (NIST) estaban completamente implementados, cuando, de hecho, solo se implementaron parcialmente.
SolarWinds y Brown prometen luchar en los tribunales
En respuesta, SolarWinds prometió una batalla judicial por delante.
"Estamos decepcionados por los cargos infundados de la SEC relacionados con un ciberataque ruso a una empresa estadounidense y estamos profundamente preocupados de que esta acción ponga en riesgo nuestra seguridad nacional”, dijo un portavoz de SolarWinds, en un comunicado proporcionado a Dark Reading. “La determinación de la SEC de presentar un reclamo contra nosotros y nuestro CISO es otro ejemplo de la extralimitación de la agencia y debería alarmar a todas las empresas públicas y profesionales comprometidos con la ciberseguridad en todo el país. Esperamos aclarar la verdad en los tribunales y continuar apoyando a nuestros clientes a través de nuestros compromisos de Secure by Design”.
El abogado de Brown, Alec Koch, también prometió una enérgica defensa de su cliente.
"Tim Brown ha desempeñado sus responsabilidades en SolarWinds como vicepresidente de seguridad de la información y luego como director de seguridad de la información con diligencia, integridad y distinción", dijo Koch en un comunicado. "Señor. Brown ha trabajado incansable y responsablemente para mejorar continuamente la postura de ciberseguridad de la Compañía durante su tiempo en SolarWinds, y esperamos defender su reputación y corregir las inexactitudes en la queja de la SEC".
Los CISO se preparan para las consecuencias
Responsabilidad del CISO es algo que la comunidad de la ciberseguridad ha estado observando de cerca durante el año pasado. Los nuevos cargos de la SEC contra Brown y SolarWinds se producen inmediatamente después de que un juez condenara al CISO de Uber, Jake Sullivan, a tres años de libertad condicional por su papel en el encubrimiento de un incidente de 2016. violación de datos en Uber y prometiendo penas más duras en el futuro.
El CISO de Amtrak, Jesse Whaley, no está muy seguro de cómo la acusación de la SEC contra SolarWinds afectará el papel del CISO de manera más amplia, por el momento.
"Es realmente bueno o realmente malo", dice Whaley. "Esto podría contribuir más al avance de la ciberseguridad que otra década de infracciones".
Por otro lado, Whaley se pregunta si la SEC realmente está haciendo lo correcto al acusar a Brown, y agrega que tiene preguntas sobre por qué el director financiero o el abogado general de la compañía no fueron nombrados también en la acusación.
A Jessica Sica, CISO de Weave, le preocupa que la decisión de la SEC de acusar a Brown aleje a más personas del puesto de CISO.
"Probablemente tendrá un efecto paralizador, que ya estamos viendo cuando los CISO dejan sus trabajos para convertirse en CISO de campo para proveedores", afirma Sica.
El problema cada vez más grave para los CISO, explica, es que casi ninguno tiene los recursos que necesita para hacer su trabajo.
"Creo que la principal preocupación es si la SEC y otras entidades comenzarán a responsabilizar a los CISO por las infracciones que se produjeron porque no obtuvieron los recursos que necesitan para hacer el trabajo. pregunta Sica.
Pero, añade, en términos de revelaciones, decir la verdad es siempre la decisión más inteligente. “No mientas. No ocultes y asegúrate de remediar los problemas más críticos que afectan tu negocio”, aconseja Sica.
Los CISO también deben tener mucho cuidado con las declaraciones que emitan en el futuro y que puedan contener un lenguaje demasiado optimista, aconseja el experto en ciberseguridad Jake Williams.
"El CISO a menudo se ve obligado a aprobar una declaración que implica la existencia de un programa en funcionamiento", dice Williams. “Incluso he trabajado con empresas que cotizan en bolsa discutiendo públicamente un programa aún en las etapas de planificación como si estuviera completamente implementado. En poco tiempo, no creo que puedas encontrar un CISO que juegue juegos de palabras como este”.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/attacks-breaches/sec-charges-against-solarwinds-ciso-send-shockwaves-through-security-ranks
