ACRESIA

30. října 2023 oznámila Komise pro cenné papíry a burzy obvinění proti softwarové společnosti SolarWinds Corporation a jejímu řediteli pro informační bezpečnost (CISO) Timothymu Brownovi za údajné uvedení podstatných nepravdivých údajů týkajících se postupů v oblasti kybernetické bezpečnosti, popisu narušení, dále za to, že společnost neměla přiměřené vnitřní kontroly k ochraně svých dat, a za to, že neměla přiměřené kontroly zveřejňování informací.

Vyšetřování Komise začalo po široce medializovaném narušení bezpečnosti společnosti SolarWinds v roce 2020, které pocítila celá americká ekonomika. Tento případ poukazuje na to, že společnosti musí zajistit, aby osoby schvalující zveřejňování informací měly potřebné, přesné a úplné informace o rizicích a incidentech v oblasti kybernetické bezpečnosti, a osoby, které mají příslušné informace, mohou být odpovědné za to, že neeskalovaly incidenty a zranitelnosti v oblasti kybernetické bezpečnosti osobám odpovědným za zveřejňování informací.

Společnost SolarWinds navrhuje a prodává software pro monitorování sítí. Jedna z jejích platforem pro správu sítí, Orion, tvořila přibližně 45 % příjmů společnosti SolarWinds. V letech 2019 až 2020 zažila společnost SolarWinds dva roky trvající kybernetický bezpečnostní incident, při němž útočník vložil škodlivý kód do produktů Orion, které byly následně prodány více než 18 000 zákazníkům po celém světě. Komise tvrdí, že v letech 2018 až 2021 společnost a ředitel CISO uváděli investory v omyl ohledně síly svých protokolů kybernetické bezpečnosti, které údajně nebyly přiměřeně navrženy tak, aby chránily její kritická aktiva, včetně produktů Orion. Dále SEC tvrdí, že Společnost a CISO uváděli investory v omyl ohledně incidentu a míry jeho dopadu.

Podle Komise společnost SolarWinds a její CISO v období od října 2018 do ledna 2021 učinili údajně nepravdivá veřejná prohlášení, v nichž uváděli a zdůrazňovali bezpečné postupy kybernetické bezpečnosti v souladu s mezinárodně uznávanými standardy. Tato prohlášení se údajně výrazně lišila od známých zranitelností při kybernetických bezpečnostních incidentech. Komise SEC tvrdí, že nepravdivá prohlášení spadala do čtyř kategorií: (1) dodržování rámce kybernetické bezpečnosti Národního institutu pro standardy a technologie ("NIST Framework") pro hodnocení postupů kybernetické bezpečnosti; (2) používání bezpečného životního cyklu vývoje ("SDL") při vytváření softwaru pro zákazníky; (3) silná ochrana heslem a (4) udržování bezpečných kontrol přístupu a aurorizace.

Podle SEC společnost SolarWinds v rozporu se svými veřejnými prohlášeními nedodržovala většinu kontrol stanovených v rámci NIST a pro většinu kontrol neměla "žádný program/systém/směrnici". Komise SEC dále tvrdí, že společnost SolarWinds v rozporu se svými prohlášeními nedodržovala proces SDL pro své softwarové platformy, včetně platformy Orion. Poté, co jeden z inženýrů upozornil vedoucí pracovníky na to, že část o SDL v jejích veřejných prohlášeních je nepravdivá, společnost SolarWinds vypracovala plán na začlenění a zavedení SDL. Podle SEC však "podniknutí kroků k zavedení SDL zdaleka neznamená, že v současné době používá SDL tak, jak je prezentováno". Kromě toho SEC uvádí, že ačkoli společnost SolarWinds tvrdila, že má silnou politiku hesel, ve skutečnosti několikrát nedokázala prosadit nebo dodržet svou vlastní politiku hesel. A konečně, SEC tvrdí, že společnost měla špatné kontroly přístupu a udělovala zaměstnancům nadbytečná práva "administrátora" a oprávnění k více systémům, než bylo pro jejich práci nezbytné. V červnu 2018 byla totiž zjištěna bezpečnostní mezera související s přístupem do virtuální privátní sítě (VPN), kdy se uživatel mohl vyhnout softwaru společnosti pro prevenci ztráty dat tím, že se do sítě VPN přihlásil z osobního zařízení. Navzdory varování před tímto rizikem se řediteli CISO nepodařilo záležitost eskalovat ani tuto zranitelnost odstranit.

Stížnost SEC zahrnuje i celou interní elektronickou komunikaci, včetně e-mailů a SMS zpráv, které podle SEC dokazují, že zaměstnanci věděli, že postupy kybernetické bezpečnosti jsou nedostatečné. Například ředitel CISO v jedné z prezentací napsal, že "současný stav zabezpečení nás ponechává ve velmi zranitelném stavu, pokud jde o naše kritická aktiva". Kromě toho SEC tvrdí, že ředitel CISO podepsal dílčí osvědčení potvrzující přiměřenost vnitřních kontrolních mechanismů kybernetické bezpečnosti společnosti, na něž se vedoucí pracovníci spoléhali v souvislosti s pravidelnými zprávami, které byly předloženy SEC. Přesto podle SEC nic z toho, co společnost podávala Komisi pro cenné papíry a burzy, neupozorňovalo investory na skutečná rizika, která existovala.

Společnost SolarWinds následně utrpěla kybernetický útok, při němž útočníci použili VPN na neřízeném zařízení třetí strany ke krádeži pověření a exfiltraci údajů zaměstnanců a zákazníků. Útočníci poté vložili do softwaru Orion škodlivý kód, který ovlivnil tisíce zákazníků společnosti SolarWinds tím, že umožnil přístup do systémů zákazníků společnosti SolarWinds. Podle SEC poté, co se společnost a CISO dozvěděli o zvýšených hrozbách a útocích na zákazníky, zůstaly veřejné zprávy společnosti o těchto problémech zamlčeny. Například v květnu 2020 SEC tvrdila, že americká vládní agentura upozornila společnost a CISO, že se software Orion pokouší kontaktovat neznámé webové stránky, a požádala společnost o prošetření tohoto problému. Následné interní vyšetřování sice zjistilo řadu zranitelností, ale nepodařilo se odhalit hlavní příčinu škodlivé činnosti ani jinak problém odstranit a ochránit platformu Orion před budoucími útoky. Nicméně veřejná prohlášení společnosti v tomto období tyto problémy neřešila.

Navíc později téhož roku jedna z kyberbezpečnostních firem oznámila společnosti SolarWinds, že i ona má problém se softwarem Orion. Komise SEC tvrdí, že namísto zveřejnění tohoto problému jej společnost před kyberbezpečnostní firmou aktivně zatajila. Navzdory těmto zprávám společnost SolarWinds incident s kybernetickou bezpečností veřejně oznámila až v prosinci 2020 a SEC tvrdí, že i tehdy bylo zveřejnění nedostatečné.

Po zjištění, že do platformy Orion byl vložen škodlivý kód, připravili CISO a společnost formulář 8-K, ve kterém tento útok zveřejnili. Komise SEC však tvrdila, že toto zveřejnění bylo zavádějící, protože se v něm hovořilo pouze hypoteticky. Konkrétně formulář 8-K uváděl, že škodlivý software vložený do produktu Orion "by potenciálně mohl umožnit" útočníkovi kompromitovat server, na kterém Orion běží. Toto prohlášení bylo podle SEC nepravdivé, protože už v tomto okamžiku společnost SolarWinds věděla, že riziko je definitivní, nikoli pouze hypotetické. Komise SEC obvinila ředitele CISO z porušení ustanovení o boji proti podvodům podle zákona o cenných papírech z roku 1933 a z napomáhání k porušování zákona ze strany společnosti. Důležité je, že SEC přikládala značnou váhu údajně nepravdivým prohlášením ve zprávách, jako je formulář 8-K, a nepravdivým dílčím potvrzením vedoucím pracovníkům.

Komise SEC rovněž tvrdí, že společnost několikrát selhala ve vnitřní kontrole a nedostatečně kontrolovala zveřejňování informací. Vykazující společnost musí vypracovat a udržovat systém vnitřních účetních kontrol, který poskytuje přiměřené záruky, že přístup k aktivům je povolen pouze v souladu s obecným nebo zvláštním pověřením vedení. Kromě toho musí společnost udržovat kontroly a postupy pro zveřejňování informací, které mají zajistit, aby informace o potenciálně významných rizicích, incidentech a zranitelnostech v oblasti kybernetické bezpečnosti byly včas oznámeny vedoucím pracovníkům. Stížnost SEC tvrdí, že plán reakce na incidenty společnosti vyžadoval pouze hlášení incidentů, které měly dopad na více zákazníků, a to vedlo k tomu, že řada problémů nebyla nahlášena. Ze všech výše uvedených důvodů SEC tvrdí, že infrastruktura informačních technologií společnosti nedokázala ochránit jedno z jejích nejkritičtějších aktiv, platformu Orion. SEC však tvrdí, že i bez kybernetického bezpečnostního incidentu nebyly vnitřní kontroly a kontroly zveřejňování informací navrženy přiměřeně vzhledem ke známým rizikům, kterým společnost čelila.

Klíčové poznatky

1. Když dojde k incidentům v oblasti kybernetické bezpečnosti, nemohou společnosti zveřejňovat obecná a hypotetická rizika s tím, že by incidenty v oblasti kybernetické bezpečnosti mohly vést k významným ztrátám. Za těchto okolností není dostačující zahrnout kybernetické bezpečnostní incidenty mezi potenciální a hypotetická rizika spolu s dalším seznamem dalších rizik.
2. Vrcholový management, včetně ředitelů CISO a dalších vedoucích pracovníků v oblasti kybernetiky nebo IT, by se měl ujistit, že to, co sdělují o rámci kybernetické bezpečnosti společnosti, je přesné a že existence a dopad incidentů jsou sdělovány osobám, které rozhodují o zveřejnění. Společnosti by měly školit pracovníky IT a kybernetické bezpečnosti o tom, jak a kdy by měli tyto problémy eskalovat. A rozhodně každý jednotlivec, který vědomě zatají problémy před zveřejněním, může čelit individuální odpovědnosti. V tomto konkrétním případě ředitel CISO údajně prohlásil: "Mám kontrolu nad tím, co sdílíme... Označil jsem [nevyřešené problémy], které byly částečně zmírněny, za zmírněné. "
3. Kontrolní mechanismy a postupy společností pro zveřejňování informací musí zajistit, aby potenciální rizika, incidenty a zranitelnosti v oblasti kybernetické bezpečnosti byly včas hlášeny vedoucím pracovníkům odpovědným za zveřejňování informací. Tyto postupy by měly být nadměrně inkluzivní, aby se předešlo neohlášeným incidentům.
4. Když společnost zveřejní kybernetický bezpečnostní incident, musí v něm popsat dopad incidentu a nesmí vytvářet zavádějící dojem, který by minimalizoval dopad nebo riziko.
5. Společnosti musí zajistit, aby měly vnitřní kontrolní mechanismy na ochranu svých kritických aktiv. V tomto případě společnost věděla, že v jejím programu existují mezery, dlouho předtím, než došlo k incidentu v oblasti kybernetické bezpečnosti, ale pro zlepšení svých postupů udělala jen málo.
6. Ve stížnosti je uvedena řada interních výtek týkajících se kultury kybernetické bezpečnosti společnosti. Dokonce i náhodná komunikace mezi zaměstnanci v interních SMS zprávách - která často postrádá kontext - může být překroucena do údajného příběhu, který může být použit proti účastníkům této komunikace.