Комиссия по ценным бумагам и биржам США (SEC) прекратила судебное разбирательство в отношении технологической корпорации SolarWinds, допустившей серьёзные промахи в безопасности, и её руководителя по защите данных Тима Брауна. Ранее регулятор обвинял их в том, что они предоставляли инвесторам недостоверные сведения о системах кибербезопасности, которые не смогли предотвратить атаку SUNBURST в 2020 году, информирует The Register.
В совместном обращении, направленном в суд в прошлый четверг, SEC, SolarWinds и Тим Браун запросили завершение гражданского иска. Регулятор пояснил, что решение о прекращении дела принято «в рамках своих дискреционных полномочий», однако это не создаёт прецедента для аналогичных ситуаций в дальнейшем.
В SolarWinds выразили «безоговорочное удовлетворение» результатом процесса. Компания акцентировала, что её сотрудники действовали корректно, а решение SEC стало «желанным подтверждением» этой позиции. Кроме того, такой вердикт снизит напряжённость среди специалистов по кибербезопасности в других организациях, поскольку продолжение суда могло негативно отразиться на их деятельности. Гендиректор SolarWinds отметил, что этот шаг SEC открывает для компании новую главу.
Источник изображения: Tingey Injury Law Firm/unsplash.com
В ходе операции SUNBURST злоумышленники внедрили скрытый доступ в систему сетевого наблюдения SolarWinds Orion, получив контроль над её внутренней архитектурой. Примерно 18 тысяч учреждений установили уязвимое программное обеспечение, после чего около сотни из них подверглись атаке группы Cozy Bear, которую связывают с Россией. В перечень пострадавших вошли Microsoft, Intel, FireEye, Cisco, а также министерства финансов, юстиции, обороны и энергетики США. Кибернарушение затронуло даже Государственный департамент страны.
После инцидента руководство SolarWinds полностью пересмотрело стратегию защиты. Сообщается, что произошедшее побудило компанию тщательнее анализировать возникающие риски и внедрить концепцию «Безопасность по умолчанию» (Secure by Design). Данный подход подразумевает обязательство фирмы устанавливать повышенные стандарты надёжности и защищённости при создании программных продуктов, задавая новые ориентиры для всей отрасли.
В судебном иске Комиссии по ценным бумагам и биржам 2023 года SolarWinds и её руководитель отдела кибербезопасности были обвинены в предоставлении ложных сведений инвесторам о состоянии защищённости систем ещё в октябре 2018 года, а впоследствии — в сознательном занижении уровня угрозы и размаха произошедшего хакерского вторжения. Примечательно, что регулятор предъявил претензии не только юридическому лицу, но и персонально его сотруднику. В июле 2024 года судебный орган отклонил основную часть претензий SEC. К апрелю 2025 года акции организации были сняты с биржевых торгов, а сама компания перешла под контроль Turn/River Capital как частная структура, тогда как в июле того же года стороны объявили о достижении принципиального соглашения по урегулированию конфликта.
Источник:
