A Comissão de Valores Mobiliários dos EUA (SEC) acusou a SolarWinds e seu principal executivo de segurança cibernética, Timothy Brown, de fraude e falhas de controle interno. A acusação alega que a empresa enganou investidores ao não divulgar adequadamente as deficiências em suas práticas de segurança cibernética antes de um ataque cibernético lançado por hackers russos em 2019.
A SEC afirmou que a SolarWinds divulgou riscos genéricos e hipotéticos, ao mesmo tempo em que tinha conhecimento de deficiências específicas em suas práticas de segurança e dos crescentes riscos que a empresa enfrentava na época. A denúncia também acusou a empresa de fazer alegações em desacordo com suas avaliações internas sobre suas práticas de segurança.
Timothy Brown, que atua como diretor de segurança da informação da SolarWinds, fez apresentações afirmando que as práticas de segurança da empresa estavam em um “estado muito vulnerável”. No entanto, a SEC alega que ele não tomou medidas suficientes para abordar esses riscos de segurança.
Gurbir S. Grewal, responsável pela unidade de fiscalização da SEC, destacou que a SolarWinds e Brown “ignoraram repetidos sinais de alerta” e “se envolveram em uma campanha para pintar uma imagem falsa do ambiente de controles cibernéticos da empresa, privando assim os investidores de informações materiais precisas.”
O hack à SolarWinds em 2019 permitiu que hackers russos invadissem a rede da empresa e inserissem um backdoor no código de seu principal produto, o Orion Network Management. O software Orion comprometido foi distribuído como uma atualização para clientes da SolarWinds, o que deu aos hackers acesso a várias redes, incluindo agências federais e empresas privadas.
A SEC havia alertado a SolarWinds em novembro de 2022 sobre possíveis medidas coercivas após o ataque cibernético. O ex-CEO da SolarWinds, Kevin Thompson, foi criticado por culpar um estagiário por usar uma senha simples, “solarwinds123”, em um servidor de arquivos da empresa.
A SolarWinds e seu CEO atual, Sudhakar Ramakrishna, prometeram se opor vigorosamente à ação da SEC. Brown também planeja defender sua reputação e corrigir as alegações da SEC.
A SolarWinds não comentou imediatamente a acusação.
