أصدرت شركة SolarWinds توبيخًا حادًا للدعوى القضائية المرفوعة من هيئة الأوراق المالية والبورصة الأمريكية (SEC) زاعمة أن الشركة ومدير أمن المعلومات التابعين لها فشلا في الحفاظ على الأمن الكافي في السنوات التي سبقت هجوم SUNBURST الإلكتروني لعام 2019.
لم يتم الإعلان عن الاختراق المدعوم من روسيا حتى ديسمبر 2020، وفي الأسبوع الماضي، أصدرت هيئة الأوراق المالية والبورصات شكواها المكونة من 68 صفحة والتي تضمنت بيانات خاطئة محددة من تيموثي براون، الذي يظل مدير أمن المعلومات بالإنابة لشركة SolarWinds. وزعمت الدعوى القضائية أن الشركة بالغت في تقدير ممارسات الأمن السيبراني بينما قللت من نقاط ضعف الأمن السيبراني الخاصة بها.
في مشاركة مدونة تحت عنوان “وضع الأمور في نصابها الصحيح على هيئة الأوراق المالية والبورصة وSUNBURST”، زعمت الشركة أن أدلة لجنة الأوراق المالية والبورصة مضللة وتم أخذ الاقتباسات من سياقها لإثبات قضيتها. وقالت الشركة: “… تقوم هيئة الأوراق المالية والبورصات بتحريف الحقائق في محاولة لتوسيع بصمتها التنظيمية في مجال الأمن السيبراني”. “نحن نعتزم تصحيح السجل والرد على تجاوزاتهم، حيث من المؤكد أن هيئة الأوراق المالية والبورصة مخطئة بشأن الحقائق وتفتقر إلى السلطة أو الكفاءة لتنظيم الأمن السيبراني للشركات العامة.”
ادعت هيئة الأوراق المالية والبورصة في الدعوى القضائية التي رفعتها أن شركة SolarWinds فشلت في تثبيت ضوابط أمنية كافية قبل الهجوم.
وجاء في منشور مدونة SolarWinds: “نحن ننفي هذه الادعاءات بشكل قاطع”. “كان لدى الشركة ضوابط مناسبة قبل SUNBURST. تقتبس هيئة الأوراق المالية والبورصات بشكل مضلل مقتطفات من المستندات والمحادثات خارج السياق لتصحيح رواية كاذبة حول وضعنا الأمني.
توضح مشاركة مدونة SolarWinds تفاصيل ما تقول إنها ادعاءات كاذبة بأن الهجوم استغل ثغرة أمنية في VPN. يتم أيضًا الدفاع في هذا المنشور عن المشكلات الفنية الأخرى المتعلقة بامتثال الشركات لإطار معايير الأمن السيبراني (CSF) التابع للمعهد الوطني للمعايير والتكنولوجيا (NIST). “إن هيئة الأوراق المالية والبورصة تخلط بين التفاح والبرتقال، مما يؤكد افتقارها إلى الخبرة في مجال الأمن السيبراني”، كما جاء في منشور المدونة. “… لجنة الأوراق المالية والبورصات تسيء فهم ما يعنيه اتباع NIST CSF.”
ومع ذلك، فإن الكثير من شكوى هيئة الأوراق المالية والبورصة تركز على سوء إدارة براون المزعوم للضوابط التي أدت إلى الانتهاك. تؤكد هيئة الأوراق المالية والبورصة أن براون صرح في عامي 2018 و2019 بأن “الحالة الأمنية الحالية تتركنا في حالة ضعيفة للغاية بالنسبة لأصولنا الحيوية”، وأن “الوصول والامتياز إلى الأنظمة/البيانات المهمة غير مناسب”.
من جانبها، تزعم هيئة الأوراق المالية والبورصات أن شركتي SolarWinds وBrown كانتا على دراية جيدة بالمخاطر.
“نزعم أن SolarWinds وBrown تجاهلتا لسنوات عديدة الإشارات الحمراء المتكررة بشأن المخاطر السيبرانية التي تتعرض لها SolarWinds، والتي كانت معروفة جيدًا في جميع أنحاء الشركة ودفعت أحد مرؤوسي Brown إلى الاستنتاج: “نحن بعيدون جدًا عن أن نكون شركة ذات تفكير أمني”. “، قال جوربير س. جريوال، مدير قسم الإنفاذ في هيئة الأوراق المالية والبورصات، في بيان صحفي.
وفي ردها، تستمر شركة SolarWinds في الادعاء بأن الدعوى القضائية التي رفعتها هيئة الأوراق المالية والبورصة ستضعف الأمن السيبراني في جميع أنحاء الصناعة.
وجاء في منشور المدونة: “إذا كان لدى هيئة الأوراق المالية والبورصة طريقها، فسوف يُطلب من الشركات الكشف عن معلومات مفصلة عن الثغرات الأمنية في الملفات العامة، وهو ما لن يكون مفيدًا للمستثمرين ولكنه سيكون مفيدًا للقراصنة الذين يبحثون عن ثغرات أمنية لاستغلالها”. “هذا هو السبب وراء قيام هيئة الأوراق المالية والبورصة بنصح الشركات سابقًا بأن قواعد هيئة الأوراق المالية والبورصة لا تتطلب مثل هذه الإفصاحات. هذه الدعوى تقوض هذا التوجيه وتترك الشركات العامة في حيرة من أمرها بشأن مقدار ما يجب عليها الكشف عنه.
يقول إيجور فولوفيتش، نائب الرئيس لاستراتيجية الامتثال في شركة حلول الامتثال Qmulos، إن معركة InformationWeek التي تخوضها شركة SolarWinds مع SEC توفر دروسًا لقادة الأعمال.
“يحتاج قادة الشركات إلى الاستيقاظ على الواقع الجديد الذي حددته اتهامات هيئة الأوراق المالية والبورصات ضد شركة SolarWinds ورئيس قسم تكنولوجيا المعلومات التابع لها… لقد تجاوزنا مرحلة الانتظار حتى عملية التدقيق التالية لفهم الوضع الأمني للشركة؛ وقال في مقابلة عبر البريد الإلكتروني: “هذا الفهم يجب أن يكون واضحًا تمامًا اليوم”. “عندما يكون هناك تناقض بين ما تفعله وما تقوم بالإبلاغ عنه، فإنك لا تفشل في الامتثال فحسب، بل إنك تخاطر بسمعة شركتك ونزاهتها… ابحث عن المزيد من الإجراءات من لجنة الأوراق المالية والبورصات، ولجنة التجارة الفيدرالية، ووزارة العدل، و وكالات أخرى قريبا.”
