کمیسیون بورس و اوراق بهادار آمریکا (SEC) پس از چندین سال بررسی پرونده مربوط به حملات سایبری به SolarWinds، شکایت خود علیه این شرکت و مدیر ارشد امنیت اطلاعات آن، تیموتی براون (Timothy G. Brown) را کنار گذاشت.
SEC پس از دو سال پیگیری، شکایت خود علیه SolarWinds و مدیر ارشد امنیت اطلاعات آن را کنار گذاشت. پرونده به ادعای گمراه کردن سرمایهگذاران درباره ضعفهای امنیتی مربوط به حمله زنجیره تأمین ۲۰۲۰ مربوط بود. بخش زیادی از ادعاها پیشتر توسط دادگاه نیویورک رد شده بود. اکنون SolarWinds اعلام کرده که این ماجرا دورهای سخت را پشت سر گذاشته و با ساختار امنیتی قویتر ادامه میدهد.
روند پرونده
شکایت اولیه SEC که در اکتبر ۲۰۲۳ ثبت شده بود، SolarWinds و براون را به موارد زیر متهم میکرد:
ارائه اطلاعات گمراهکننده به سرمایهگذاران
اغراق در سطح امنیت سایبری شرکت
عدم افشای ریسکهای امنیتی شناختهشده
نادیده گرفتن هشدارها و نشانههای متعدد (Red Flags)
ضعف در کنترلهای داخلی امنیتی، که نهایتاً به حمله معروف سال ۲۰۲۰ منجر شد
این حمله توسط گروه APT29 وابسته به دولت روسیه انجام شد و بهعنوان یکی از گستردهترین حملات زنجیره تأمین در تاریخ شناخته میشود.
نقش دادگاه در تضعیف پرونده
در ژوئیه ۲۰۲۴، دادگاه منطقهای جنوب نیویورک (SDNY) بخش زیادی از ادعاهای SEC را رد کرد و اعلام کرد که:
ادعاها بر حدس و گمان استوار است
شاکی نمیتواند با نگاه از آینده به گذشته ضعفها را مصداق «اقدامات قابل پیگرد» معرفی کند
مدارک ارائهشده برای اثبات «گمراهسازی واقعی» کافی نیست
این حکم عملاً پایههای پرونده را متزلزل کرد.
تأثیر پرونده حملات سایبری به SolarWinds بر سایر شرکتها
پس از حملات سایبری به SolarWinds، کمیسیون SEC چند شرکت بزرگ را نیز بهدلیل افشای ناکافی ریسکهای امنیتی تحت پیگرد قرار داد؛ از جمله:
Avaya
Check Point
Mimecast
Unisys
همه این موارد در راستای تلاش SEC برای ایجاد استانداردهای سختگیرانهتر در افشای اطلاعات امنیت سایبری صورت گرفت.
واکنش SolarWinds
مدیرعامل SolarWinds، سودهکار راماکریشنا (Sudhakar Ramakrishna)، با انتشار بیانیهای اعلام کرد:
«این تصمیم پایان یک دوره چالشبرانگیز است. ما اکنون قویتر، امنتر و آمادهتر از همیشه هستیم.»
