Estados Unidos pone sobre aviso al CFO y al CISO de SolarWinds dos años después de su incidente
El personal de la SEC ha recomendado acciones legales contra empleados individuales de SolarWinds, en un movimiento inusual que está causando revuelo entre los profesionales de la seguridad cibernética.
La Comisión de Bolsa y Valores de Estados Unidos ha perturbado a la industria de la ciberseguridad al advertir a los ejecutivos de SolarWind que puede emprender acciones legales por violaciones de la ley federal en relación con su respuesta al ataque de 2020 a la infraestructura de la empresa que afectó a miles de clientes en agencias gubernamentales y empresas a nivel mundial.
Los empleados y funcionarios actuales y anteriores de la compañía, incluido el director financiero (CFO) y el CISO, han recibido los llamados Avisos de Wells del personal de la SEC, en relación con la investigación del ciberataque de 2020. “Estos indican que se ha tomado una determinación preliminar para recomendar que la SEC presente una acción de ejecución civil contra los destinatarios alegando violaciones de ciertas disposiciones de las leyes federales de valores del país”, ha comunicado la propia SolarWinds.
Un Aviso de Wells no es un cargo formal de irregularidad ni una determinación final de que el destinatario se ha saltado alguna ley, señalan. Sin embargo, si la SEC emprende una acción legal y gana en una demanda, podría haber consecuencias.
“Si la SEC autoriza una acción contra cualquiera de estas personas, podría solicitar una orden que conllevarían sanciones monetarias civiles o incluso la prohibición de servir como funcionarios públicos o directivos de empresas públicas”.
SolarWinds vende una plataforma de monitorización de redes y aplicaciones llamada Orion, que fue atacada por un actor de amenazas, que se cree afiliado a Rusia, y que se utiliza para distribuir actualizaciones con troyanos a los usuarios del software.
La SEC también envió un aviso a la propia organización el año pasado. En el mismo, alegó “violaciones de ciertas disposiciones de las leyes federales de valores de Estados Unidos con respecto a nuestras divulgaciones de ciberseguridad y declaraciones públicas, así como a nuestros controles internos y procedimientos de divulgación”, según el último informe trimestral de SolarWinds. La acción sobre ese aviso aún está pendiente.
La defensa de SolarWinds
El CEO de la multinacional, Sudhakar Ramakrishna, envió un correo a los empleados indicando que, a pesar de sus medidas extraordinarias para cooperar e informar a la SEC, la agencia continúa tomando posiciones que SolarWinds cree que no coinciden con los hechos.
“Continuaremos explorando una posible resolución de este asunto antes de que la SEC tome una decisión final. Y si finalmente decide iniciar alguna acción legal, tenemos la intención de defendernos enérgicamente”.
El movimiento de la SEC podría significar más responsabilidad para los CISO
Mientras tanto, los profesionales de ciberseguridad creen que es inusual que se envíe un Aviso de Wells a personas dentro de una empresa, y esta medida podría indicar un conjunto completamente nuevo de responsabilidades potenciales para los CISO.
“Por lo general, un Aviso de Wells nombra a un director ejecutivo o financiero para problemas como esquemas Ponzi, fraude contable o manipulación del mercado, pero es poco probable que se apliquen a un CISO”, escribió Jamil Farshchi, CISO de Equifax. “Cosas como no revelar la gravedad de un incidente o no hacerlo de manera oportuna podrían caer en esta categoría”.
La medida de la SEC hará que las OSC sean más individualmente responsables de la ciberseguridad, dijo Agnidipta Sarkar, ex CISO de la compañía farmacéutica Biocon. “Aunque no significa que el CISO haya sido acusado, es un nuevo hito. A partir de hoy, los CISO serán cada vez más responsables de las decisiones que tomen o dejen de tomar”, dijo Sarkar.
Sin embargo, atribuir la culpa únicamente al CISO o al CFO puede no ser siempre justo o preciso, dijo Ruby Mishra, CISO de KPMG India. “Para administrar la ciberseguridad de manera efectiva, la organización adopta un enfoque de múltiples capas que involucra a varias partes interesadas y departamentos. Hacer que el CISO o el CFO sean los únicos responsables de un ataque cibernético puede pasar por alto la responsabilidad colectiva”, dijo Mishra.
Por su parte, SolarWinds dijo en un comunicado enviado a los medios de comunicación que "Sunburst", su nombre para la brecha, "fue un ataque altamente sofisticado e imprevisible que el gobierno de EE. nuevo tipo de amenaza que los expertos en ciberseguridad nunca antes habían visto".
También señaló que las acciones legales contra SolarWinds y sus empleados podrían tener un efecto "escalofriante" en las divulgaciones de incumplimiento. “La única forma posible de prevenir ataques sofisticados y generalizados a estados-nación como Sunburst es a través de asociaciones público-privadas con el gobierno”, dijo la compañía.
