Nakon cyber napada: Američki regulator povukao tužbu protiv kompanije SolarWinds
SEC je povukao tužbu protiv kompanije SolarWinds, dvije godine nakon historijskog cyber napada koji je pogodio američke institucije i kompanije.
Američka Komisija za vrijednosne papire i berze (SEC) odustala je od dvogodišnje tužbe protiv kompanije SolarWinds i njenog šefa za informacionu sigurnost, Timothya G. Browna. Time je okončan jedan od najpraćenijih regulatornih postupaka u oblasti cyber sigurnosti, vezan za jedan od najvećih cyber napada u modernoj historiji.
SEC odustaje od optužbi nakon dvije godine
Prema pisanju agencije Reuters, SEC je odlučio povući optužbe u kojima su SolarWinds i njihov CISO teretili za „prevaru investitora“. Regulator je tvrdio da su javne izjave kompanije o stanju njihove cyber sigurnosti bile u suprotnosti s internim analizama koje su ukazivale na ozbiljne slabosti. Navodno je Brown bio svjestan rizika, ali nije proveo neophodne mjere niti ih adekvatno komunicirao unutar kompanije.
SolarWinds je od početka odbacivao optužbe, upozoravajući da bi takav regulatorni pristup mogao zastrašiti stručnjake iz industrije i ugroziti nacionalnu sigurnost. Kompanija je pozdravila odluku o obustavi postupka, ističući da bi to moglo umiriti šefove informacione sigurnosti u drugim kompanijama koji su se plašili pravnih posljedica zbog ranjivosti u vlastitim sistemima.
Podsjetnik: Jedan od najvećih cyber napada ikada
SolarWinds je 2019. godine bio u centru globalnog cyber incidenta koji je pogodio brojne američke agencije i korporacije. Napadači su uspjeli ubaciti zlonamjerni kod u softver za upravljanje IT sistemima tokom samog procesa izrade (build procesa). Time su napadi prošli potpuno nezapaženo, jer je kompromitovani softver na kraju potpisan legitimnim potpisima same kompanije.
Posljedice su bile ogromne. Microsoftov predsjednik Brad Smith nazvao je ovaj incident „najvećim i najsloženijim cyber napadom ikada viđenim.“ Napadači su tako dobili dugotrajan i širok pristup mrežama vladinih agencija i velikih organizacija, a napad je ostavio trag u globalnim raspravama o sigurnosti lanca snabdijevanja softverom.
Šira poruka industriji
Povlačenje tužbe dolazi u trenutku kada su mnogi stručnjaci izrazili bojazan da bi prevelika regulatorna strogoća prema šefovima informacione sigurnosti mogla imati negativan efekat – smanjenje transparentnosti i otežano upravljanje rizicima. Odluka SEC-a mogla bi smanjiti takve strahove i označiti prelazak prema uravnoteženijem pristupu odgovornosti u cyber sigurnosti.
