Manténgase informado con actualizaciones gratuitas
Simplemente regístrate en La seguridad cibernética myFT Digest: entregado directamente a su bandeja de entrada.
SolarWinds, la empresa de TI atacada por piratas informáticos rusos como parte de una extensa campaña de espionaje en 2020, ha sido demandada por la Comisión de Bolsa y Valores de EE. UU.
La SEC presentó el lunes una denuncia acusando a la empresa y al director de seguridad de la información, Tim Brown, de engañar a los inversores al no revelar «riesgos conocidos» y no representar con precisión sus medidas de seguridad cibernética.
“Alegamos que, durante años, SolarWinds y Brown ignoraron repetidas señales de alerta sobre los riesgos cibernéticos de SolarWinds, que eran bien conocidos en toda la empresa y llevaron a uno de los subordinados de Brown a concluir: ‘Estamos muy lejos de ser una empresa preocupada por la seguridad, ‘”, dijo Gurbir Grewal, director de la división de aplicación de la ley de la SEC, en un comunicado.
La supuesta irregularidad se produjo al menos desde la oferta pública inicial de la empresa en octubre de 2018 hasta diciembre de 2020, cuando uno de los mayores ataques cibernéticos de la historia reciente puso de relieve lo que hasta entonces había sido una empresa de cadena de suministro poco conocida con sede en Austin. Los piratas informáticos respaldados por la inteligencia rusa explotaron un producto de software SolarWinds para espiar a empresas y organizaciones gubernamentales a nivel mundial, incluidos los departamentos de Comercio y del Tesoro de Estados Unidos.
Un portavoz de SolarWinds dijo que la empresa estaba «decepcionada por las acusaciones infundadas de la SEC». Los abogados que representan a Brown dijeron que había “cumplido con sus responsabilidades en SolarWinds. . . con diligencia, integridad y distinción” y dijeron que esperaban “defender su reputación”.
La acción de la SEC es la primera vez que intenta responsabilizar personalmente a un director de seguridad de la información por fallas de seguridad cibernética. Gary Gensler, presidente de la SEC, ha centrado su atención en los riesgos cibernéticos, incluida la propuesta de reglas para ampliar la divulgación de información de las empresas.
Según la denuncia, Brown escribió en una presentación interna en 2018 que el “estado actual de seguridad de SolarWinds nos deja en un estado muy vulnerable para nuestros activos críticos”. Sin embargo, los documentos de registro de la oferta pública inicial del acuerdo solo mencionaban “divulgaciones genéricas e hipotéticas de riesgos de seguridad cibernética”, dijo la SEC.
Un ingeniero de SolarWinds le dijo a Brown en 2020 que estaba «asustado» por la actividad de uno de sus clientes, a lo que el ejecutivo respondió diciendo que el asunto era «muy preocupante», según la denuncia. «Como ustedes saben, nuestros backends no son tan resistentes y definitivamente deberíamos mejorarlos», agregó, según la denuncia.
La denuncia también citó comunicaciones internas advirtiendo en 2020 que “[t]El volumen de problemas de seguridad identificados durante el último mes ha superado la capacidad de resolución de los equipos de ingeniería”.
La SEC alegó que estas deficiencias fueron explotadas en lo que llamó “uno de los peores incidentes de seguridad cibernética de la historia”, que se desarrolló entre enero de 2019 y diciembre de 2020, según la denuncia.
Un gerente de SolarWinds escribió en noviembre de 2020 en un mensaje instantáneo: “[E]Cada vez que escucho que nuestros expertos hablan de seguridad, tengo ganas de vomitar”.