Hack da SolarWinds ainda espalha medo

Uma investigação conduzida pela Comissão de Valores Mobiliários dos Estados Unidos (Securities and Exchange Commission – SEC) sobre o hack da SolarWinds está espalhando medo entre executivos do país. De acordo com seis pessoas familiarizadas com a investigação e ouvidas pela reportagem da Reuters, o receio é de que informações colhidas pela inspeção abram caminho para impor responsabilidades às empresas por conta de mais casos de ciberataques não reportados.

O ataque  à plataforma Orion, da empresa SolarWinds, ganhou destaque nos últimos dias de 2020  e foi descrito por alguns especialistas como um dos mais complexos e de mais longa duração da história. Os invasores conseguiram se infiltrar no processo de compilação das atualizações da Orion, sem deixar rastros, e assim comprometeram desde empresas do setor privado, inclusive de setor de tecnologia, mas principalmente importantes agências do governo dos Estados Unidos.

A SEC está pedindo às empresas que entreguem registros de “qualquer outra” violação de dados ou ataque de ransomware desde outubro de 2019, caso tenham baixado uma atualização comprometida do software da SolarWinds, de acordo com detalhes das cartas compartilhadas com a Reuters.

O problema é que essas informações podem revelar incidentes cibernéticos não relatados à SEC. “Nunca vi nada assim. O que preocupa as empresas é não saber como a SEC usará essas informações” afirmou à Reuters, sob condição de anonimato, um consultor que trabalha com dezenas de empresas de capital aberto que recentemente receberam o pedido da SEC.

A SEC disse às empresas que não seriam penalizadas se compartilhassem dados sobre o caso da SolarWinds voluntariamente, mas não ofereceu anistia para outros ataques. As cartas da SEC foram enviadas a centenas de empresas, incluindo muitas nos setores de tecnologia, finanças e energia, consideradas potencialmente afetadas pelo ataque em questão.

De acordo com Jina Choi, sócia da Morrison & Foerster e ex-diretora da SEC que trabalhou em casos de segurança cibernética, a atual investigação “não tem precedentes” em termos de falta de clareza sobre o objetivo dessa varredura tão ampla.

Em uma matéria da Bloomberg, pessoas com conhecimento direto do assunto e que pediram para não serem identificadas, afirmaram que a SEC está tentando determinar se empresas de capital aberta vítimas do ataque deram informações adequadas aos investidores, se houve negociações suspeitas relacionadas ao caso e se há dados sigilosos comprometidos. O porta-voz da SEC não quis comentar a investigação.

Segundo a Bloomberg, a SolarWinds declarou aos investidores que há inúmeras investigações decorrentes da invasão, entre elas as conduzidas pela SEC, pelo Departamento de Justiça e por procuradores.

As leis de valores mobiliários dos Estados Unidos determinam que empresas de capital aberto devem divulgar informações que sejam relevantes para a tomada de decisão dos investidores -incluindo relatos sobre ataques cibernéticos. A SEC é responsável por investigar e punir as empresas envolvidas em suspeitas.

Relato obrigatório

O Congresso dos Estados Unidos está se movimentando para obrigar empresas operadoras de infraestrutura crítica a informar as autoridades federais sobre ataques cibernéticos. A iniciativa vem depois de anos de um sistema de relatórios irregular – e voluntário – e casos como o da SolarWinds e do Colonial Pipeline.

Alguns legisladores querem que bancos, companhias de petróleo e gás, empresas de tecnologia e prestadores de serviços públicos, entre outras organizações, sejam obrigados a avisar à principal agência de segurança cibernética dos país quando sofrerem um ciberataque. Os projetos de leis também exigem que o governo dos Estados Unidos compartilhem informações sobre ataques a redes federais que eventualmente afetem o setor privado.

“O modelo voluntário de relatórios claramente atingiu seu limite”, afirma Ron Bushar, vice-presidente da FireEye Mandiant, empresa de pesquisa de cibersegurança. Para ele, o sistema obrigatório deve especificar como e o que relatar após o ataque cibernético e a quem reportá-lo a fim de ajudar as agências dos Estados Unidos a ter informações uniformes e a planejar uma resposta eficiente.

Bushar foi um dos cinco executivos representantes de vários setores que testemunharam a favor do projeto de lei no início de setembro.