Per la Consob americana la società ha frodato gli investitori sopravvalutando i suoi standard di sicurezza e sottovalutando i rischi. Nel mirino anche il chief information security officer
La Sec (Securities and Exchange Commission), cioè la Consob americana, ha accusato di frode SolarWinds e un suo alto dirigente alla luce del grande attacco informatico che ha colpito la società di software alla fine del 2020.
L’attacco ha preso il nome della società: per tutti è l’attacco a SolarWinds visto Orion, il software di gestione delle reti aziendali prodotto dalla società texana e compromesso tramite backdoor probabilmente nella primavera del 2020, è stato il principale punto d’ingresso degli hacker. Si trattato, dunque, di un attacco alla supply-chain, che ha interessato molti dipartimenti del governo degli Stati Uniti e diverse multinazionali causando grosse perdite economiche e danni politici che hanno richiesto mesi per essere individuati e quantificati.
Meno di sei mesi dopo l’attacco, gli Stati Uniti hanno accusato la Russia dell’attacco. Gli indizi puntano verso Cozy Bear (APT29), collettivo legato all’intelligence russa. Ma, oltre alle responsabilità dell’attacco, ci sono quelle di chi avrebbe dovuto prevenirlo e non l’ha fatto.
A distanza di quasi tre anni dall’inizio dell’attacco, la Sec ha accusato SolarWinds e il suo chief information security officer (Ciso), Timothy Brown, “per frode e carenze di controllo interno in relazione a presunti rischi e vulnerabilità di cybersicurezza noti”. Almeno dall’offerta pubblica iniziale dell’ottobre 2018 fino al dicembre 2020, quando l’attacco è divenuto di dominio pubblico, SolarWinds e Brown “hanno frodato gli investitori sopravvalutando le pratiche di sicurezza informatica di SolarWinds e sottovalutando o non rivelando i rischi noti”, si legge nella nota diffusa dalla Sec. E ancora: “Nei documenti depositati presso la Sec durante questo periodo, SolarWinds avrebbe ingannato gli investitori divulgando solo rischi generici e ipotetici in un momento in cui l’azienda e Brown erano a conoscenza di carenze specifiche nelle pratiche di sicurezza informatica di SolarWinds e dei rischi sempre più elevati che l’azienda doveva affrontare nello stesso periodo”.
La decisione contiene “un messaggio agli operatori del settore”, ha dichiarato Gurbir S. Grewal, direttore della divisione della Sec per l’applicazione delle norme: “Implementate controlli solidi adeguati ai vostri ambienti di rischio e parlate con gli investitori delle preoccupazioni note”.
Siamo davanti a una svolta, soprattutto in tema di responsabilità diretta del Ciso sui livelli di sicurezza cyber della sua struttura. E non è la prima volta che la Sec fa sentire tutto il suo peso in tema di sicurezza informatica. A luglio aveva deciso di prevede l’obbligo per le società quotate alla Borsa di New York (oltre 2.400 società con una capitalizzazione totale superiore ai 30.000 miliardi di dollari) di dettagliare la supervisione del rischio cyber da parte del consiglio di amministrazione e quello di rendere noti gli incidenti cyber “rilevanti” entro quattro giorni. Inizialmente l’idea era quella di prevedere un chief information security officer nei consigli di amministrazione delle società quotate. Ma forse il passaggio sarebbe stato troppo grande. Così si è deciso di spingere nei fatti il consiglio di amministrazione a considerare la cybersecurity come uno tra i più rilevanti rischi orizzontali, che impatta sul business, sulla reputazione, ma anche sull’operatività e sugli obblighi di compliance.