SolarWinds é processada por reguladores dos EUA após ataque em 2020

A SolarWinds Corp e um executivo sénior estão a ser processados pela Securities and Exchange Commission (SEC) dos Estados Unidos na sequência de uma violação do software da empresa numa campanha massiva de ciberespionagem russa em 2020.

Os reguladores da SEC anunciaram “acusações contra a empresa de software SolarWinds Corporation, com sede em Austin, Texas, e o seu diretor de segurança da informação, Timothy G. Brown, por fraude e falhas de controlo interno relacionadas com riscos e vulnerabilidades de cibersegurança supostamente conhecidos”.

O processo sucede um ataque russo, em 2020, em que os cibercriminosos utilizaram software da SolarWinds para violar 632 mil endereços de e-mail do Departamento de Justiça e do Pentágono, como parte integrante do ciberataque MOVEit.

Em setembro de 2021, a SEC iniciou uma investigação em grande escala sobre os efeitos do hack à SolarWinds, que foi motivada pela relutância de algumas empresas de capital aberto em explicar a sua exposição à empresa.

Dois anos depois, a denúncia da SEC alega que a SolarWinds e, em particular, Timothy G. Brown foram autores de fraude contra investidores, exagerando as práticas de cibersegurança da empresa e subestimando, ou não divulgando, os riscos conhecidos. De acordo com as alegações, isto terá ocorrido desde o seu IPO em outubro de 2018 até pelo menos dezembro de 2020, quando foi anunciado que a empresa tinha sido alvo de um ataque de duração de quase dois anos, designado de “SUNBURST”.

“A SolarWinds supostamente enganou os investidores ao divulgar apenas riscos genéricos e hipotéticos num momento em que a empresa e Brown sabiam de deficiências específicas nas práticas de cibersegurança da SolarWinds, bem como dos riscos cada vez mais elevados que a empresa enfrentava ao mesmo tempo”, disse a SEC.

A SEC alega ainda que, ao longo de 2019 e 2020, múltiplas comunicações entre funcionários da SolarWinds, incluindo Brown, questionaram a capacidade da empresa de proteger os seus ativos críticos contra ciberataques.

Segundo a denúncia da SEC, em junho de 2020, enquanto Brown investigava um ataque a um cliente da SolarWinds, escreveu que era “muito preocupante” o facto de o cibercriminoso poder estar a tentar utilizar o software Orion da empresa em ataques de maior escala, porque “os nossos backends não são tão resilientes”.

Além disto, um documento interno de setembro de 2020, que foi partilhado com Brown e outros colaboradores, afirmava que “o volume de problemas de segurança identificados no último mês [sic] ultrapassou a capacidade de resolução das equipas de engenharia”.

Desta forma, a queixa da SEC, apresentada no Distrito Sul de Nova York, alega que Brown estava ciente dos riscos e vulnerabilidades de cibersegurança da SolarWinds e não conseguiu resolver os problemas, chegando invés a aumentá-los dentro da empresa em várias ocasiões.

Devido a estes lapsos, a empresa alegadamente não conseguiu fornecer garantias razoáveis de que os seus ativos mais valiosos, incluindo o seu principal produto Orion, estavam adequadamente protegidos.

A SolarWinds terá ainda realizado uma divulgação incompleta sobre o ataque SUNBURST num formulário 8-K de 14 de dezembro de 2020, segundo a SEC, após o qual o preço das suas ações caiu aproximadamente 25% nos dois dias seguintes e aproximadamente 35% no final do mês.

“Alegamos que, durante anos, a SolarWinds e Brown ignoraram repetidos sinais de alerta sobre os riscos cibernéticos da SolarWinds, que eram bem conhecidos em toda a empresa e levaram um dos subordinados de Brown a concluir: ‘Estamos tão longe de ser uma empresa preocupada com a segurança’”, constata Gurbir S. Grewal, Diretor da Divisão de Execução da SEC.

“Em vez de abordar essas vulnerabilidades, a SolarWinds e Brown envolveram-se numa campanha para pintar uma imagem falsa do ambiente dos controlos cibernéticos da empresa, privando assim os investidores de informações materiais precisas”, sublinha Grewal.

O executivo da SEC acrescenta ainda que a ação intentada “não apenas acusa a SolarWinds e Brown por enganarem o público investidor e por não protegerem os ativos da ‘joia da coroa’ da empresa, mas também ressalta a nossa mensagem aos emissores: implementem controlos fortes calibrados para os vossos ambientes de risco e conversem com os investidores sobre as preocupações conhecidas”.