La SEC demanda a SolarWinds por fraude en informes de seguridad

La semana no empezó bien para SolarWinds. Los reguladores de la Securities and Exchange Commission (SEC) acusan a la empresa y a su CISO, Tim Brown, de engañar a los inversores sobre los riesgos y prácticas de ciberseguridad de la empresa al revelar únicamente riesgos genéricos e hipotéticos, a pesar de que conocían problemas específicos. Además de las sanciones económicas, la SEC pide que se prohíba a Brown ocupar cualquier cargo ejecutivo debido a su papel en la presunta tergiversación de las prácticas de ciberseguridad.

Las acusaciones de la SEC se producen casi tres años después de que su sistema de vigilancia SolarWinds fuera pirateado en un ataque atribuido posteriormente a hackers rusos. Pero sus consecuencias tienen implicaciones para todo el sector, afirma Jonathan Armstrong, abogado de Cordery Compliance, que aconseja a los responsables de seguridad que “tengan cuidado”. “Es un duro recordatorio de que nunca se debe descuidar la responsabilidad de salvaguardar los datos y garantizar la transparencia”, dijo en una entrevista con Information Security Media Group.

Antes de esta acción, la SEC nunca había acusado a una empresa pública de fraude basado en datos relacionados con un ciberataque o sus revelaciones de ciberseguridad. La gran preocupación ahora es si la SEC -y otros organismos- empezarán a responsabilizar a los CISO de las violaciones, obligando a las empresas a ser más juiciosas en la divulgación de sus programas de ciberseguridad.

La expectativa de muchos profesionales de la seguridad es que los consejos empiecen a plantearse preguntas como: “¿Cómo validamos que la información que divulgamos sobre nuestro programa de ciberseguridad es exacta y completa?” y “¿Ha llegado a nuestro conocimiento alguna información que contradiga la que estamos divulgando?”.

Cabe recordar que el ataque al producto de SolarWinds en 2020 culminó en uno de los peores incidentes de ciberespionaje de la historia de Estados Unidos, que afectó a varias agencias gubernamentales y de inteligencia del país. La SEC dice que SolarWinds no mantuvo controles internos adecuados durante años y subestimó las vulnerabilidades. Según el texto de la demanda, el fabricante de software, que salió a bolsa en 2018, solo hizo divulgaciones “genéricas” sobre el riesgo de ciberseguridad tanto en su prospecto como en las presentaciones en curso.

La demanda de la SEC también cita varios correos electrónicos y mensajes internos en los que se hablaba abiertamente de supuestas declaraciones falsas de la empresa sobre riesgos materiales en sus sistemas de ciberseguridad y productos “plagados” de vulnerabilidades.

“Es alarmante que la SEC haya presentado lo que creemos que es una [demanda] equivocada e improcedente contra nosotros, que representa un conjunto regresivo de puntos de vista y acciones incompatibles con el progreso que la industria necesita hacer y que el gobierno fomenta”, dijo el Presidente y CEO de SolarWinds, Sudhakar Ramakrishna, en respuesta a los cargos de la demanda.

“Hemos optado deliberadamente por hablar claro, con franqueza y a menudo, para compartir lo que hemos aprendido y ayudar a otros a ser más seguros. Nos hemos asociado estrechamente con el gobierno y hemos animado a otras empresas a ser más abiertas en materia de seguridad, compartiendo información y mejores prácticas”, añadió, añadiendo que “las acusaciones de la SEC ponen ahora en peligro el intercambio abierto de información que los expertos en ciberseguridad coinciden en que es necesario para la seguridad colectiva.”

También vale la pena recordar que esta no es la primera vez que SolarWinds ha sido demandada por el hackeo descubierto en diciembre de 2020. En 2021, dos fondos de pensiones que invirtieron en acciones de la compañía también demandaron a sus directivos por los mismos motivos alegados por la SEC. Según estos fondos, SolarWinds conocía los riesgos cibernéticos incluso antes del ataque, pero no tomó ninguna medida, lo que creó vulnerabilidades en miles de sistemas de clientes. En esta demanda se nombraba como demandados a varios directivos actuales y anteriores, así como a la propia empresa.