Комиссия по ценным бумагам и биржам США (U.S. Securities and Exchange Commission, SEC) решила отозвать свой иск с обвинениями разработчика программного обеспечения SolarWinds и его ИБ-директора в заведомо ложных утверждениях по вопросу обеспечения информационной безопасности (ИБ) – эти утверждения ввели в заблуждение инвесторов, написал в четверг Nextgov/FCW.
Напомним, SolarWinds взломали неизвестные, подменив обновления ПО (dll-файл) на сервере компании, о чём стало известно в конце 2020 года. Для этого не потребовалось ни социальной инженерии, ни действий разведслужб, достаточно было посетить GitHub (ресурс для разработчиков, с 2018 года принадлежит Microsoft), где в течение полутора лет, вплоть до ноября 2020, в открытом доступе лежал примитивно составленный пароль доступа к FTP-серверу SolarWinds. Тем не менее ответственность за атаку бездоказательно возложили на «русских хакеров».
В 2023 году SEC подала на SolarWinds в суд, обвинив в том, что компания сообщала инвесторам ложные сведения о ситуации с ИБ. Это решение встретило критику представителей отрасли обеспечения кибербезопасности. По их мнению, иск регулятора мог спровоцировать желание директоров ИБ-служб, в том числе ИБ-директора самой SolarWinds уволиться, что нежелательно.
В 2024 году суд в США отклонил большинство претензий SEC, придя к выводу, что до выявления инцидента специалисты SolarWinds не могли знать о связанных со взломом проблемах компании.
