Регистрация Восстановление пароля
Cover Image

В США регулятор подал в суд на SolarWinds за заведомо ложные утверждения об ИБ

  
 1 Ноябрь 2023    За рубежами

Комиссия по ценным бумагам и биржам США (U.S. Securities and Exchange Commission, SEC) подала в суд на американского разработчика программного обеспечения SolarWinds и его ИБ-директора за заведомо ложные утверждения по вопросу обеспечения информационной безопасности (ИБ), которые ввели в заблуждение инвесторов, сообщил во вторник Nextgov/FCW.

Напомним, SolarWinds взломали неизвестные, подменив обновления ПО (dll-файл) на сервере компании, о чём стало известно в конце 2020 года. Для этого не потребовалось ни социальной инженерии, ни действий разведслужб, достаточно было посетить GitHub (ресурс для разработчиков, с 2018 года принадлежит Microsoft), где в течение полутора лет, вплоть до ноября 2020, в открытом доступе лежал примитивно составленный пароль доступа к FTP-серверу SolarWinds. Тем не менее ответственность за атаку бездоказательно возложили на «русских хакеров».

См. также: Русские, русскоязычные, или просто хакеры – это теперь решают СМИ >>>

Взлом SolarWinds привёл к проникновению злоумышленников в IT-системы заказчиков, использовавших программные продукты компании. В числе заказчиков были правительственные структуры США, факт взлома установили ИБ-исследователи компании FireEye. Инцидент оказался настолько серьёзен, что обсуждался в Совете национальной безопасности США (National Security Council).

В иске SEC утверждается, что SolarWinds и её ИБ-директор обманывали инвесторов на протяжении почти двух лет (2018-2020), не раскрывая данные о том, насколько уязвима была компания перед кибератаками.

Положение дел в области внутреннего контроля, а также количество ложных и вводящих в заблуждение заявлений по поводу обеспечения ИБ «могли бы уже считаться нарушением федерального законодательства в области ценных бумаг, даже если бы компания не подверглась масштабной целенаправленной кибератаке», отмечается в иске.

См. также: Новой уязвимостью программных продуктов SolarWinds воспользовались китайские киберпреступники – Microsoft >>>