La SEC de USA acusa a SolarWinds y su CISO de fraude respecto a sus prácticas de ciberseguridad

La situación es una consecuencia del incidente que afectó a la compañía en 2020, tras un ciberataque de una APT de Rusia. La empresa realizó serios descargos con la SEC. La situación podría marcar un precedente respecto al escrutinio de los CISO y altos ejecutivos en ese país.

La Bolsa de Valores de los Estados Unidos (SEC, Security and Exchange Commission) acusó a la empresa SolarWinds y su CISO Timothy Brown, de fraude y fallas de control interno por supuestamente engañar a los inversores sobre las prácticas de ciberseguridad de la empresa y que condujeron al ciberataque Sunburst descubierto en diciembre del año 2020.

La SEC argumentó que las prácticas de ciberseguridad de la compañía fueron exageradas y no reveló los riesgos conocidos hoy desde octubre del año 2018, fecha en que la compañía salió a la bolsa, hoy hasta el momento en que se produjo el ciberataque.

Los funcionarios de la SEC alegan que SolarWinds y Brown ignoraron las repetidas señales de advertencia que pusieron en riesgo la ciberseguridad de la empresa, y se respaldaron en una serie de contradicciones en sus evaluaciones internas, algunas de las cuales eran conocidas por su CISO y que apuntaban a que la configuración de acceso remoto de sus sistemas no era muy seguro.

“En lugar de abordar estas vulnerabilidades, SolarWinds y Brown participaron en una campaña para pintar una imagen falsa del entorno de control cibernético de la empresa, privando así a los inversores de información precisa”, señalaron desde la SEC, lo cual constituye una violación a las disposiciones antifraude de la Ley de Valores de 1933 y la Ley de Bolsa de Valores de 1934.

La SEC también acusa que SolarWinds violó las disposiciones de informes y controles internos de la Ley de Bolsa y que el CISO, Timothy Brown ayudó e instigó esas violaciones.

Por su parte, SolarWinds refutó los cargos realizados por las SEC y los consideró como “una acción de cumplimiento equivocada e inadecuada”.

“Estamos decepcionados por los cargos infundados de la SEC relacionados con un ciberataque ruso a una empresa estadounidense y estamos profundamente preocupados de que esta acción ponga en riesgo nuestra seguridad nacional”, dijo la empresa en un comunicado, añadiendo que “la determinación de la SEC de presentar un reclamo contra nosotros y nuestro CISO es otro ejemplo de la extralimitación de la agencia y debería alarmar a todas las empresas públicas y profesionales comprometidos con la ciberseguridad en todo el país”.

De ser confirmados, los cargos realizados por la SEC podrían hoy podrían sentar un precedente en los Estados Unidos, porque con ello se aumenta el escrutinio de los CISOs y de altos ejecutivos en las organizaciones de ese país.

Timothy Borwn, el CISO señalado por la SEC, se unió a SolarWinds en 2017, como vicepresidente de seguridad, y fue ascendido a CISO en mayo de 2021.

Un documento de septiembre de 2020, y que Brown tuvo a la vista, indicaba que el volumen de problemas de SolarWinds superaba a las capacidades de respuesta de su equipo de ingenieros.