Menkul Kıymetler ve Borsa Komisyonu, SolarWinds ve onun CISO’su Timothy G. Brown’a, bilinen siber güvenlik riskleri ve güvenlik açıklarıyla ilgili olduğu iddia edilen dolandırıcılık ve iç kontrol başarısızlıkları nedeniyle suçlamalarda bulunulduğunu duyurdu.
Şikayette, en azından Ekim 2018’deki ilk halka arzından en azından Aralık 2020’deki duyurusuna kadar SUNBURST adlı devasa, neredeyse iki yıl süren bir siber saldırının hedefi olduğu duyurusuna kadar, SolarWinds ve Brown’ın SolarWinds’in siber güvenliğini abartarak yatırımcıları dolandırdığı iddia ediliyor. uygulamalar ve bilinen risklerin küçümsenmesi veya ifşa edilmemesi.
Bu dönemde SEC’e yaptığı başvurularda SolarWinds’in, şirket ve Brown’un SolarWinds’in siber güvenlik uygulamalarındaki belirli eksikliklerin yanı sıra şirketin karşılaştığı giderek artan riskleri bildiği bir dönemde yalnızca genel ve varsayımsal riskleri açıklayarak yatırımcıları yanılttığı iddia ediliyor. aynı zamanda.
Şikayette iddia edildiği gibi, SolarWinds’in siber güvenlik uygulamaları ve riskleri hakkındaki kamuya açık beyanları, bir şirket mühendisi tarafından hazırlanan ve Brown da dahil olmak üzere dahili olarak SolarWinds’in uzaktan erişim kurulumunun ” pek güvenli değil” ve bu güvenlik açığından yararlanan birisi “temel olarak biz fark etmeden her şeyi çok geç olana kadar yapabilir” ve bu da SolarWinds için “büyük bir itibar ve mali kayba” yol açabilir.
Benzer şekilde SEC’in şikayetinde iddia edildiği gibi Brown’un 2018 ve 2019 sunumlarında sırasıyla “mevcut güvenlik durumu bizi kritik varlıklarımız açısından çok savunmasız bir durumda bırakıyor” ve “[a]Kritik sistemlere/verilere erişim ve ayrıcalık uygun değildir.”
Ayrıca SEC’in şikayeti, Brown da dahil olmak üzere SolarWinds çalışanları arasında 2019 ve 2020 yılları boyunca gerçekleşen çok sayıda iletişimin, şirketin kritik varlıklarını siber saldırılara karşı koruma becerisini sorguladığını iddia ediyor. Örneğin, SEC’in şikayetine göre, Haziran 2020’de bir SolarWinds müşterisine yapılan siber saldırıyı araştırırken Brown, saldırganın SolarWinds’in Orion yazılımını daha büyük saldırılarda kullanmayı düşünmesinin “çok endişe verici” olduğunu yazdı çünkü “bizim arka uçlar o kadar dayanıklı değil; Brown ve diğerleriyle paylaşılan Eylül 2020 tarihli bir dahili belgede şu ifadelere yer verildi: “Geçen ay tespit edilen güvenlik sorunlarının hacmi, [sic] Mühendislik ekiplerinin çözme kapasitesini aştı.”
SEC’in şikayeti, Brown’un SolarWinds’in siber güvenlik risklerinin ve açıklarının farkında olduğunu ancak sorunları çözemediğini veya zaman zaman bunları şirket içinde yeterince ileri götüremediğini iddia ediyor. Bu ihlallerin bir sonucu olarak şirketin, amiral gemisi Orion ürünü de dahil olmak üzere en değerli varlıklarının yeterince korunduğuna dair makul güvence sağlayamadığı iddia edildi.
SolarWinds, 14 Aralık 2020 tarihli Form 8-K başvurusunda SUNBURST saldırısı hakkında eksik bir açıklama yaptı ve bunun ardından hisse fiyatı önümüzdeki iki gün içinde yaklaşık yüzde 25 ve ay sonuna kadar yaklaşık yüzde 35 düştü.
“SolarWinds ve Brown’un, şirket genelinde iyi bilinen ve Brown’ın astlarından birinin şu sonuca varmasına yol açan, SolarWinds’in siber riskleriyle ilgili tekrarlanan uyarı işaretlerini yıllardır görmezden geldiğini iddia ediyoruz: ‘Güvenlik odaklı bir şirket olmaktan çok uzağız, ‘” dedi SEC’in Uygulama Bölümü Direktörü Gurbir S. Grewal.
“SolarWinds ve Brown, bu güvenlik açıklarını ele almak yerine, şirketin siber kontrol ortamına ilişkin yanlış bir resim çizmek ve böylece yatırımcıları doğru maddi bilgilerden mahrum bırakmak için bir kampanya başlattı. Bugünkü icra eylemi, SolarWinds ve Brown’ı yalnızca yatırımcı kamuoyunu yanıltmakla ve şirketin ‘taç mücevheri’ varlıklarını korumamakla suçluyor, aynı zamanda ihraççılara olan mesajımızın da altını çiziyor: risk ortamlarınıza göre ayarlanmış güçlü kontroller uygulayın ve bilinen endişeler konusunda yatırımcılarla aynı seviyede olun. ”
SEC’in New York Güney Bölgesi’nde yaptığı şikayette, SolarWinds ve Brown’un 1933 Menkul Kıymetler Kanunu ve 1934 Menkul Kıymetler Borsası Kanunu’nun dolandırıcılıkla mücadele hükümlerini ihlal ettiği iddia ediliyor; SolarWinds, Takas Yasası’nın raporlama ve iç kontrol hükümlerini ihlal etti; ve Brown şirketin ihlallerine yardım ve yataklık etti. Şikayette kalıcı ihtiyati tedbir, ön karar faiziyle birlikte tazminat, hukuki cezalar ve Brown’a karşı bir memur ve müdür barosu talep ediliyor.
SEC’in soruşturması W. Bradley Ney, Lory Stone ve Benjamin Brutlag tarafından, Deneme Birimi’nden Christopher Bruckmann ve Kristen Warden’ın yardımıyla yürütüldü ve denetimini Carolyn M. Welshhans ve Melissa R. Hodgman yaptı. SEC’in davası, Melissa Armstrong’un gözetiminde Bay Bruckmann ve Bayan Warden tarafından yürütülecek.