Американская Комиссия по ценным бумагам и биржам (SEC) отказалась от иска против допустившей ряд крупных оплошностей IT-компании SolarWinds и её директора по информационной безопасности Тима Брауна (Tim Brown). Ранее утверждалось, что они ввели в заблуждение инвесторов о действовавших на её платформе механизмах обеспечения безопасности, пропустивших атаку SUNBURST в 2020 году, сообщает The Register.
В совместном ходатайстве, поданном в минувший четверг, SEC, SolarWinds и Тим Браун попросили суд о завершении гражданского процесса. SEC отметила, что решение о запросе прекратить дело принято «на основании предоставленных ей полномочий», но это не означает, что Комиссия обязательно будет придерживаться аналогичной политики в любых других случаях в будущем.
SolarWinds заявила, что «безусловно в восторге» от исхода дела. Компания подчеркнула, что её команда действовала должным образом, и решение SEC является «долгожданным подтверждением» этого. Более того, такой исход дела заставит меньше переживать многих директоров по информационной безопасности других компаний, поскольку продолжение процесса могло бы сказаться и на их работе. Глава SolarWinds заявил, что решение SEC знаменует начало нового этапа для SolarWinds.
Источник изображения: Tingey Injury Law Firm/unsplash.com
В ходе SUNBURST хакеры внедрили бэкдор в инструмент сетевого мониторинга SolarWinds Orion после получения доступа к её внутренней инфраструктуре. Около 18 тыс. организаций загрузили содержащее дефект ПО, после чего порядка 100 из них были атакованы командой Cozy Bear, предположительно, российского происхождения. Среди жертв оказались Microsoft, Intel, FireEye, Cisco, а также Министерства финансов, юстиции, обороны и энергетики. Пострадал даже Госдепартамент США.
После кибератаки руководство SolarWinds пересмотрело подход к обеспечению безопасности. Утверждается, что инцидент заставил компанию глубже задуматься о новых угрозах и привёл к формированию принципа «Безопасность по умолчанию» (Secure by Design). Новый принцип представляет собой обязательство компании установить новые, более высокие стандарты надёжности и безопасности разработки ПО, задавая планку для всей индустрии.
В иске SEC 2023 года SolarWinds и её директор по информационной безопасности обвинялись в том, что ввели в заблуждение инвесторов относительно механизмов обеспечения безопасности в компании в октябре 2018 года, а позже намеренно преуменьшили масштаб и серьёзность кибератаки. Необычным было и то, что SEC обвинила не только компанию, но и лично директора. В июле 2024 года судья отклонил большинство обвинений SEC. В апреле 2025 года акции компании перестали торговаться на бирже, и та перешла в частную собственность Turn/River Capital, а в июле 2025 года сообщалось, что стороны в основном урегулировали спор.
Источник: servernews.ru