ABD hükümetinin Menkul Kıymetler ve Borsa Komisyonu (SEC), Sunburst tedarik zincirinin ardından bir dizi güvenlik sorununu ortaya çıkardıktan sonra SolarWinds ve onun bilgi güvenliği sorumlusu (CISO) Timothy Brown’ı dolandırıcılık ve iç kontrol başarısızlıklarıyla ilgili çok sayıda suçla suçladı. olay.
2020 Noeli yaklaşırken ortaya çıkarılan Sunburst (veya Solorigate) siber saldırısı, Rahat Ayı olarak bilinen Rusya destekli tehdit aktörlerinin, ABD hükümetine ait çok sayıda kritik ağa ve çok sayıda özel kuruluşa sızmasına neden oldu. SolarWinds’in Orion ağ yönetim platformunu 2019 gibi uzun bir süre önce tehlikeye attı.
O günden bu yana geçen yıllarda SolarWinds, açıklığa olan bağlılığı nedeniyle övgü topladı ve tasarımı gereği güvenli yazılım geliştirme uygulamalarının büyük bir savunucusu haline geldi.
Ancak SEC, 30 Ekim’de yayınlanan şikayetinde şirketi ve Brown’u, SolarWinds’in siber güvenlik uygulamalarını abartarak ve bilinen riskleri küçümseyerek ve açıklamayarak yatırımcıları dolandırmakla suçladı.
“SolarWinds ve Brown’ın, şirket genelinde iyi bilinen ve SolarWinds’in siber riskleriyle ilgili tekrarlanan tehlike işaretlerini yıllardır görmezden geldiğini ve Brown’ın astlarından birinin şu sonuca varmasına yol açtığını iddia ediyoruz: ‘Güvenlik odaklı bir şirket olmaktan çok uzağız. .’,” dedi SEC’in Uygulama Bölümü yöneticisi Gurbir Grewal.
Grewal şöyle devam etti: “SolarWinds ve Brown, bu güvenlik açıklarını ele almak yerine, şirketin siber kontrol ortamına ilişkin yanlış bir resim çizmek ve böylece yatırımcıları doğru maddi bilgilerden mahrum bırakmak için bir kampanya başlattılar.”
“Bugünkü icra eylemi, SolarWinds ve Brown’ı yalnızca yatırımcı kamuoyunu yanıltmakla ve şirketin ‘mücevher’ varlıklarını korumamakla suçluyor, aynı zamanda ihraççılara verdiğimiz mesajın altını çiziyor: risk ortamlarınıza göre ayarlanmış güçlü kontroller uygulayın ve bilinen endişeler konusunda yatırımcılarla aynı seviyede olun. .”
Lanet iddialar
SEC, SolarWinds’in, güvenlik uygulamalarının “belirli eksiklikler” içerdiğini çok iyi bildiği bir anda, yalnızca genel ve varsayımsal riskleri açıklayarak yatırımcılarını yanılttığını iddia etti.
Raporda, bir şirket mühendisi tarafından hazırlanan ve Brown tarafından görülen 2018 sunumuna atıfta bulunuldu; bu sunumda isimsiz mühendis, SolarWinds’in uzaktan erişim VPN’inde, bir tehdit aktörünün SolarWinds sistemlerine erişebildiği – ve en az bir durumda bunu yaptığı – açık bir delik tespit etti. yönetilmeyen bir cihaz. Mühendis bu kurulumun “pek güvenli olmadığı” konusunda uyardı.
Mühendis, bu kusurdan yararlanan birinin “temelde biz fark etmeden her şeyi çok geç olana kadar yapabileceğini” ekledi.
2020 yılı boyunca SEC, SolarWinds içerisinde Orion’un güvenli olmadığının sözde netleştiğini söyledi; Mayıs ayında adı açıklanmayan bir devlet kurumuna ve Ekim ayında bir siber güvenlik müşterisine yapılan saldırının ardından Brown’un da bildiği bir şey bu.
Aynı yılın temmuz ayında, yani saldırı kamuoyuna duyurulmadan beş ay önce SEC, başka bir mühendisin Brown’a bir müşterideki tuhaf hareketlerden “korktuklarını” söylediğini ve gördükleri güvenlik sorunlarının hacminin çözme kapasitelerini aştığı konusunda onu uyardığını söyledi.
Siber güvenlik müşterisine yapılan ikinci saldırıdan kısa bir süre sonra SEC, Brown’un bu saldırı ile Mayıs olayı arasındaki benzerlikleri fark ettiğini iddia ettiğini ancak müşteri tarafından SolarWinds’in daha önce benzer bir aktivite görüp görmediği sorulduğunda müşterinin SolarWinds’teki bağlantısının görmediğini söylediğini söyledi. Bu kişi daha sonra bir meslektaşına mesaj attı. “Evet,” dediler, “sadece yalan söyledim.”
SEC, Kasım 2020’de gönderilen ve SolarWinds’teki kıdemli bir bilgi güvenliği yöneticisinin şirketin tutumundan duyduğu tiksintiyi ifade ettiği diğer dahili iletişimlere atıfta bulundu. “Güvenlik odaklı bir şirket olmaktan çok uzaktayız. Ne zaman baş meraklılarımızın güvenlikten bahsettiğini duysam kusmak istiyorum.”
Şikayette ayrıca, SEC şikayetinde Siber Güvenlik Firması C olarak tanımlanan FireEye tarafından Aralık 2020’de yapılan açıklamaların ardından SolarWinds’in, diğerlerinin yanı sıra Brown tarafından da imzalanan ve SEC’e bir 8-K Formu sunduğu ve bu Formda Aslında FireEye ilgili kodu SolarWinds ile paylaşmış ve Brown bağlantıları kurmuş olmasına rağmen Orion güvenlik açığından iki kez daha yararlanılmıştı.
SEC, SolarWinds’in zayıf kontrollerinin, yanlış ve yanıltıcı beyanlarının, ihmallerinin ve genel suiistimallerinin, Orion Ruslar tarafından tehlikeye atılmamış olsa bile federal menkul kıymetler yasalarını ihlal edeceğini ve ihlallerinin “acı verici derecede açık” olduğunu söyledi.
Medyaya dağıtılan bir açıklamada SolarWinds sözcüsü şunları söyledi: “SEC’in bir Amerikan şirketine yönelik Rus siber saldırısıyla ilgili asılsız suçlamalarından dolayı hayal kırıklığına uğradık ve bu eylemin ulusal güvenliğimizi riske atacağından derin endişe duyuyoruz.
“SEC’in bize ve CISO’muza karşı dava açma kararlılığı, kurumun aşırı müdahalesinin bir başka örneğidir ve ülke çapındaki tüm kamu şirketlerini ve kararlı siber güvenlik profesyonellerini alarma geçirmelidir. Mahkemede gerçeği açıklamayı ve tasarım gereği güvenlik taahhütlerimiz aracılığıyla müşterilerimizi desteklemeye devam etmeyi sabırsızlıkla bekliyoruz.”
Brown’un bir avukatı, görevlerini “titizlikle, dürüstlükle ve ayrıcalıkla” yerine getirdiğini ve SolarWinds’in güvenlik duruşunu iyileştirmek için “yorulmadan ve sorumlu bir şekilde” çalıştığını söyledi. “Onun itibarını savunmayı ve SEC’in şikayetindeki yanlışlıkları düzeltmeyi sabırsızlıkla bekliyoruz.”