SEC תובעת את Solarwinds על רשלנות שהובילה למתקפת הסייבר Sunburst
1 נובמבר, 2023
טוענת שהחברה היתה מודעת לליקויי אבטחה בתוכנת ניהול המידע שלה, שאיפשרו לבצע את מתקפת הסייבר החמורה ביותר בהיסטוריה של ארה"ב. התביעה מניחה תשתית לאחריות משפטית על איכות פתרונות אבטחה
הרשות לניירות ערך של ארצות הברית (SEC) הגישה תביעה לבית המשפט של מחוז דרום ניו יורק נגד חברת Solarwinds ומנהל אבטחת המידע (CISO) של החברה, טימותי ג'י בראון, בגין הסתרת מידע ממשקיעים וכשל במערכות הבקרה הפנימיות. לטענת הרשות, סולרווינדס לא נהגה בשקיפות באשר לאמצעי אבטחת הסייבר שהיא נוקטת ובאשר לסיכונים שהחברה היתה מודעת להם, וכל זאת על רקע מתקפת הסייבר הנרחבת שהתבצעה בשנת 2020 ושקיבלה את השם Sunburst. המתקפה ניצלה חולשה בתוכנת ניהול תשתיות המידע Orion של סולרווינדס ופגעה במאות חברות וארגונים, בהם גם גופי ממשל בארצות הברית.
לפי ההערכה השמרנית, מתקפת Sunburst החלה חודש מרץ 2020 והתגלתה רק בחודש דצמבר 2020. במהלך המתקפה השתילה קבוצת האקרים נוזקה בעדכון מקוון של תוכנת ניהול המידע Orion של Solarwinds, הנמצאת בשימוש משרדים ממשלתיים רבים בארה"ב, אשר הכילה "דלת אחורית", שסיפקה לתוקפים גישה אל כל השרתים הארגוניים שהותקנה בהם פלטפורמת Orion. רבים בתעשייה מייחסים את המתקפה לגורמים הקשורים לממשלת רוסיה, ולכן היא גם מוגדרת כאחת ממתקפות ריגול הסייבר הגדולות בהיסטוריה, והפנטגון הגדיר אותה כ"מתקפת הסייבר החמורה ביותר בתולדות ארצות הברית".
חברת סולרווינדס מאוסטין, טקסס, מפתחת מערכות לניהול תשתיות מידע ורשת למגזר הארגוני והתעשייתי. החברה הונפקה באוקטובר 2018 ובדצמבר 2020 פרסמה לראשונה הודעה בדבר מתקפת הסייבר. לטענת ה-SEC, "בדיווחיה ל-SEC באותה תקופה, Solarwinds הוליכה שולל את המשקיעים בכך שהצהירה רק על סיכונים גנריים והיפוטתיים, וזאת בשעה שבראון והחברה היו מודעים לליקויים ספציפיים בפרקטיקות אבטחת הסייבר של החברה ולסיכונים ההולכים וגוברים שהחברה היתה נתונה להם באותה תקופה". החשיבות של התביעה היא בכך שהיא מניחה תשתית לאחריות משפטית של ספקי מערכות אבטחה על איכות המוצרים שלהם, בדומה לאחריות המוטלת כיום על יצרניות של מוצרים אחרים, דוגמת כלי-רכב, או ציוד חשמלי.
מהנדס בחברה הזהיר, בראון היה מודע
לטענת הרשות, מסמכים ותכתובות פנימיים של החברה מעידים לכאורה כי אנשיה, ובכלל זה מנהל אבטחת המידע, היו מודעים לליקויי האבטחה החושפים את הלקוחות למתקפות סייבר. כך למשל, במצגת פנימית שהכין מהנדס בחברה בשנת 2019 ושהוצגה למנהל האבטחה בראון, נכתב כי החיבור מרחוק של מערכות החברה "אינו בטוח במיוחד" וכי מי שינצל את החולשה "יוכל לעשות ככל העולה על רוחו ולא נוכל לגלות זאת עד שזה יהיה מאוחר מדי. הדבר יוביל לפגיעה במוניטין ובנזק פיננסי משמעותי לחברה".
עוד חשפה הרשות תכתובות של בראון עצמו, אשר מעידים על מודעותו לחומרת הבעיה. ביוני 2020, במסגרת בדיקה שביצע על מתקפת סייבר בקרב אחד מלקוחות החברה, כתב בראון שזה מדאיג מאוד שהתוקף ניסה לעשות שימוש בתוכנת Orion במסגרת מתקפת סייבר נרחבת יותר, "מכיוון שהתשתית האחורית שלנו (backends) אינה חסינה במיוחד". במסמך פנימי מספטמבר 2020, שגם בראון היה חשוף אליו, נכתב: "היקף בעיות האבטחה שנחשף בחודש האחרון עולה על יכולת המענה של צוות המהנדסים שלנו".
הרשות לניירות ערך מפנה אצבע מאשימה לבראון עצמו, על כך שהיה מודע לסיכוני וחולשות הסייבר של סולארווינדס, אך לא נתן להם מענה ולא הניף דגלים אדומים בצורה מספקת בתוך החברה.
פורסם בקטגוריות: אבטחת סייבר , חדשות
פורסם בתגיות: SEC , Solarwinds , סייבר
כתבות נוספות העשויות לעניין אותך
