SEC processa SolarWinds por fraude em relatórios de segurança

A semana não começou nada bem para a SolarWinds. Reguladores da Securities and Exchange Commission (SEC) acusam a empresa e seu CISO, Tim Brown, de enganar investidores sobre os ricos e as práticas de segurança cibernética da empresa, divulgando apenas riscos genéricos e hipotéticos, embora soubessem de questões específicas. Além de sanções financeiras, a SEC pede que Brown seja proibido de exercer qualquer função executiva devido ao seu papel na alegada deturpação de práticas de segurança cibernética. 

As acusações da SEC ocorrem quase três anos depois de seu sistema de monitoramento da SolarWinds ter sido hackeado em um ataque atribuído, mais tarde, a hackers russos. Mas suas consequências têm implicações para toda a indústria, afirma Jonathan Armstrong, advogado da Cordery Compliance, que aconselha lideranças de segurança a “tomarem cuidado”. “É um alerta contundente de que a responsabilidade de salvaguardar os dados e garantir a transparência nunca devem ser negligenciados”, disse ele em entrevista ao Information Security Media Group.

 Antes desta ação, a SEC jamais havia acusado uma empresa pública de fraude baseadas em dados relacionados a um ataque cibernético ou suas divulgações de segurança cibernética. A grande preocupação agora é se a SEC — e outras entidades — começarão a responsabilizar os CISOs por violações, forçando as empresas a serem mais criteriosas nas divulgações relativas aos seus programas de segurança cibernética.

A expectativa de muitos profissionais de segurança é a de que os conselhos comecem a fazer perguntas do tipo: “Como validamos que as informações que divulgamos sobre o nosso programa de segurança cibernética são precisas e completas?” e “Chegou ao nosso conhecimento alguma informação que contradiga a informação que estamos divulgando?”

Vale lembrar que o ataque ao produto da SolarWinds em 2020 culminou em um dos piores incidentes de espionagem cibernética da história dos EUA, afetando várias agências governamentais e de inteligência do país. A SEC diz que a SolarWinds não conseguiu manter controles internos adequados durante anos e subestimou vulnerabilidades. Conforme o texto do processo, a fabricante de software, que abriu o capital em 2018, fez apenas divulgações “genéricas” sobre o risco de segurança cibernética tanto em seu prospecto quanto em registros contínuos.

A ação da SEC cita também vários e-mails e mensagens internas que discutiam abertamente supostas declarações falsas feitas pela empresa sobre riscos materiais em seus sistemas de segurança cibernética e produtos “crivados” de vulnerabilidades.

“É alarmante que a SEC tenha apresentado o que acreditamos ser uma ação [judicial] equivocada e imprópria contra nós, representando um conjunto regressivo de visões e ações inconsistentes com o progresso que a indústria precisa fazer e o governo incentiva”, disse o presidente e CEO da SolarWinds, Sudhakar Ramakrishna, em resposta às acusações que constam da ação. 

“Fizemos uma escolha deliberada de falar, com franqueza e frequência, visando compartilhar o que aprendemos para ajudar os outros a se tornarem mais seguros. Fizemos uma parceria estreita com o governo e incentivamos outras empresas a serem mais abertas sobre segurança, compartilhando informações e melhores práticas”, completou o executivo, acrescentando que “as acusações da SEC agora arriscam o compartilhamento aberto de informações que os especialistas em segurança cibernética concordam ser necessário para a segurança coletiva”.

Vale lembrar também que essa não é a primeira vez que a SolarWinds é processada por conta da invasão descoberta em dezembro de 2020. Em 2021, dois fundos de pensão que investiram em ações da empresa também acionaram sua administração e pelos mesmos motivos alegados pela SEC. Segundo esses fundos, a SolarWinds sabia dos riscos cibernéticos antes mesmo do ataque, mas não tomou nenhuma providência, o que gerou vulnerabilidades em milhares de sistemas de clientes. Esse processo indicou como réus vários diretores atuais e ex-diretores, além da própria companhia.