قاضٍ يبرئ SolarWinds ورئيس قسم أمن المعلومات من معظم التهم في دعوى قضائية أمام لجنة الأوراق المالية والبورصات بشأن الهجوم الإلكتروني الروسي
حققت شركة سولارويندز، الخميس، انتصارا كبيرا بعد أن رفض قاضي المحكمة الجزئية الأميركية معظم التهم في دعوى قضائية رفعتها لجنة الأوراق المالية والبورصة الأميركية زعمت أن شركة برمجيات الأمن أخفت نقاط ضعف بعد هجوم إلكتروني مرتبط بروسيا ضرب الحكومة الأميركية.
خلال “Sunburst”، استهدف هجوم إلكتروني امتد لما يقرب من عامين منصة البرمجيات الرائدة لشركة SolarWinds، Orion. ضرب الهجوم العديد من شبكات الحكومة الأمريكية، بما في ذلك وزارات التجارة والطاقة والأمن الداخلي والخارجية والخزانة. تم الكشف عن هجمات عام 2019 في ديسمبر 2020.
في قراره المكون من 107 صفحات، رفض قاضي المحكمة الجزئية الأمريكية في مانهاتن بول إنجيلماير جميع المطالبات ضد شركة سولارويندز ورئيس قسم أمن المعلومات فيها تيموثي براون بشأن تصريحاته حول الهجوم – قائلاً إن التهم كانت مبنية على “الإدراك المتأخر والتكهنات”.
وفي رسالة بالبريد الإلكتروني إلى InformationWeek، رد متحدث باسم SolarWinds على تطورات القضية.
وكتب المتحدث باسم الشركة: “نحن سعداء لأن القاضي إنجلماير وافق إلى حد كبير على طلبنا برفض مطالبات هيئة الأوراق المالية والبورصات. ونحن نتطلع إلى المرحلة التالية، حيث ستتاح لنا الفرصة لأول مرة لتقديم أدلتنا الخاصة وإثبات سبب عدم دقة المطالبة المتبقية من الناحية الواقعية”.
نفت روسيا مسؤوليتها عن الهجوم. لكن الحكومة الأميركية قالت إن روسيا ربما كانت وراء مجموعة القرصنة المعروفة باسم “نوبليوم”. ورفعت هيئة الأوراق المالية والبورصات الأميركية قضيتها في أكتوبر/تشرين الأول.
ال شكوى لجنة الأوراق المالية والبورصات الأمريكية المكونة من 68 صفحة وتضمنت المزاعم التي قدمتها هيئة الأوراق المالية والبورصات الأمريكية أخطاء محددة مزعومة من جانب براون. وزعمت هيئة الأوراق المالية والبورصات الأمريكية أن شركة سولارويندز فشلت في الكشف عن أن هذه الثغرة الأمنية كانت مشتركة بين عملاء آخرين أيضًا، بما في ذلك شركتان للأمن السيبراني لم يتم ذكر اسميهما ووكالة فيدرالية لم يتم ذكر اسمها.
ولم تستجب هيئة الأوراق المالية والبورصات حتى الآن لطلبات التعليق.
ماذا يعني الحكم بالنسبة لمسؤولي أمن المعلومات؟
بعد الدعوى القضائية المرفوعة في أكتوبر/تشرين الأول، ردت شركة SolarWinds، مدافعة عن مدير أمن المعلومات لديها، قائلة إن هيئة الرقابة الفيدرالية “تفتقر إلى الكفاءة” وأن الدعوى القضائية “معيبة بشكل أساسي”.
قال جو سوليفان، مستشار الأمن والمدير التنفيذي السابق لأمن المعلومات في شركة أوبر والذي تم اتهامه بعد خرق عام 2016 وحُكم عليه بالسجن لمدة ثلاث سنوات تحت المراقبة، إن الحكم يعد علامة جيدة لمسؤولي أمن المعلومات وغيرهم من قادة تكنولوجيا المعلومات الذين يشعرون بالضغوط القانونية بعد الهجمات الإلكترونية.
وفي مقابلة عبر البريد الإلكتروني مع InformationWeek، قال سوليفان: “من الرائع أن نرى تلك اللحظات التي يخصص فيها القاضي الوقت الكافي لفهم تعقيدات الأمن السيبراني. وفي حين أتمنى إسقاط جميع التهم الموجهة إلى تيم، فإن مجتمع المسؤولين التنفيذيين في مجال الأمن سوف يستمد بعض العزاء من وجهات النظر الواردة في هذا الرأي القضائي”.
ويضيف: “لقد أدركت المحكمة أنه من الصعب حقًا تحديد تأثير حادث أمني أثناء وقوعه، وفي ظل وجود معلومات غير كاملة، خاصة عندما يكون الهجوم قد تم تنفيذه من قبل دولة قومية”.
يقول غادي إيفرون، الرئيس التنفيذي لشركة Knostic، وهي شركة متخصصة في أمن الذكاء الاصطناعي، والمدير التنفيذي السابق لأمن المعلومات، لـ InformationWeek أن الحكم سيكون له تأثير بعيد المدى على مجتمع مديري أمن المعلومات.
“لقد حبس كبار مسؤولي أمن المعلومات في جميع أنحاء العالم أنفاسهم وهم يرون تيم براون يُحاسب ـ وحده من بين جميع المسؤولين التنفيذيين ـ دون أدلة تُذكَر. لقد شعرنا وكأننا جميعًا محاصرون، بل ومستهدفون، ولا أعرف أحدًا من كبار مسؤولي أمن المعلومات لم يفكر في التخلي عن دوره”، كما يقول إيفرون. “مع هذا الحكم، يمكننا أن نتنفس الصعداء مرة أخرى، وأن نستكشف الدور المتطور الذي يلعبه كبار مسؤولي أمن المعلومات وكيف تبدو المساءلة، دون أن يُسلَّط سيف على أعناقنا. لقد تحققت العدالة، والآن أصبح أمامنا كمجتمع عمل يتعين علينا القيام به”.
