Вчера вечером комиссия по ценным бумагам и биржам США (SEC) сделала официальное заявление , в котором обвинила Тимоти Брауна, главу службы информационной безопасности компании SolarWinds, в обмане инвесторов и вводе их в заблуждение касательно практик кибербезопасности компании.
В поданной в Южном округе Нью-Йорка жалобе утверждается, что Браун нарушил положения о борьбе с мошенничеством Закона о ценных бумагах 1933 года и Закона об обмене ценными бумагами 1934 года.
SEC требует наложения на Брауна постоянного судебного запрета, возврата незаконно полученных средств с процентами, гражданских санкций, а также запрета на занятие Брауном руководящих должностей в других компаниях.
В течение нескольких месяцев SEC намекала на намерение предъявить обвинения руководителям SolarWinds за их роль в кибератаке, которая продолжалась почти два года. Злоумышленники тогда внедрили вредоносное ПО в фирменное приложение Orion, необходимое для мониторинга IT-систем, что позволило иностранным хакерам проникнуть в десятки американских ведомств и свободно выгружать из них конфиденциальные данные.
По данным SEC, с момента выхода SolarWinds на IPO в октябре 2018 года и до объявления в декабре 2020 года о хакерской атаке, компания предоставляла инвесторам лишь общие сведения о рисках, в то время как руководство компании, включая Брауна, были осведомлены о конкретных недостатках в практиках кибербезопасности и возросших рисках.
Вместо устранения этих уязвимостей SolarWinds и Браун, по утверждению SEC, начали кампанию по созданию ложного представления о среде управления киберконтролем в SolarWinds, лишая инвесторов точной информации. Действия SEC не только предъявляют обвинения SolarWinds и Брауну в введении инвесторов в заблуждение и пренебрежительному отношению к защите важнейших активов компании, но и подчёркивают послание эмитентам: необходимо внедрять сильные контрольные меры, соответствующие рискам окружения, и быть открытыми перед инвесторами относительно известных проблем.
Представитель SolarWinds, в свою очередь, выразил разочарование в связи с “беспочвенными обвинениями” со стороны SEC. Адвокат Брауна заявил от его имени, что тот “с добросовестностью и высокой степенью ответственности постоянно работал над улучшением кибербезопасности компании”.
SEC указывает на внутренние отчёты, которые свидетельствуют о том, что Браун был осведомлён о проблемах с кибербезопасностью в компании, но не предпринял шагов по их устранению или не сообщил о них на более высоком уровне. Комиссия также отмечает, что раскрытие информации о кибератаке в декабре 2020 года было неполным.
В прошлом году SolarWinds уже выплатила $26 миллионов в рамках урегулирования исков акционеров, связанных со скандалом из-за взлома, однако, похоже, на этом история не заканчивается.