בוטלה התביעה נגד סולארווינדס ומנהל האבטחה שלה

ה-SEC, רשות ניירות הערך בארה"ב, הודיעה בסוף השבוע כי היא ביטלה את התביעה נגד סולארווינדס (SolarWinds) וכנגד טים בראון, סמנכ"ל אבטחת המידע של החברה. הפריצה לסולארווינדס, שכונתה "החמורה בהיסטוריה של ארה"ב" – הסבה נזקים והשפעות גלובליים וניכרים, ובוצעה על ידי האקרים רוסים בגיבוי הקרמלין. SEC תבעה את החברה ובראון בטענה, כי הטעו משקיעים לגבי שיטות האבטחה שהובילו למתקפת סייבר עולמית נגדה.

תחילת הפרשה במתקפת סייבר שנחשפה ב-2020, ובדיעבד התברר שהחלה כבר ב-2019. נוזקה בשם Sunburst חדרה למערכות ארגונים ברחבי העולם, והתקרית הפכה לאחת ממתקפות הסייבר המשמעותיות בהיסטוריה: כמעט 18 אלף מלקוחות סולארווינדס, כולל עשרות ארגוני ממשל בארה"ב, תשתיות קריטיות וארגונים מהמגזר הפרטי – קיבלו עדכון תוכנה פגום, מה שגרם לכך, שלפחות תשעה ספקי שירותים מנוהלים נפרצו כתוצאה מהאירוע.

סולארווינדס הותקפה בסייבר באופן ממוקד, במתקפה שפגעה בשרשרת האספקה שלה. המתקפה פגעה ב-Orion, פלטפורמת ניטור הרשת של החברה. הנוזקה הוזרקה ל-Orion בין מרץ ליוני 2020, וזו אפשרה להאקרים, חברי קבוצה APT29, לפרוץ למערכות של ארגונים שונים. קבוצה APT29 ידועה גם בשם Cozy Bear (דובי חמים ונעים) ומקושרת ל-SVR, שירות ביון החוץ של רוסיה. מוסקבה, כצפוי, הכחישה שהיא העומדת מאחורי המגה אירוע. הפריצה פגעה במאות ארגונים בעולם: יותר מ-400 מ-500 החברות הגדולות באמריקה הורידו את הקובץ הפגום, וחלקן נפרצו.

ה-SEC תבעה את סולארווינדס ב-2023, בטענה ש"סולארווינדס ובראון ידעו על ליקויים בתוכנית הגנת הסייבר של החברה, אך מעולם לא עדכנו את המשקיעים". SEC האשימה את החברה ובראון בהונאה ובכישלונות בבקרה פנימית. "סולארווינדס ובראון התעלמו מדגלי התרעה אדומים שהונפו שוב ושוב ולא הגנו כראוי על נכסיה… בראון היה מודע לסיכוני הסייבר ולפגיעויות של החברה, אך לא הצליח לפתור את הבעיות או, לעיתים, לא הציף אותן מספיק בחברה".

ביום ה' האחרון הרשות לניירות ערך והנתבעים הגישו הסכמה משותפת לביטול התיק.

התיק של ה-SEC נגד סולארווינדס ספג מכה קשה ב-2024: רובן של ההאשמות נדחו על ידי השופט פול אנגלמאייר מבית המשפט המחוזי של המחוז הדרומי של ניו יורק, שקבע, כי "טענות אלו אינן נסמכות על ראיות, אלא על השערות".

לאחר ביטול התיק סולארווינדס מסרה, כי היא "שמחה מההחלטה… התביעה הייתה הפרעה גדולה… נלחמנו בנחישות, וטענו שהעובדות מצביעות שהצוות שלנו פעל כראוי. ביטול התיק הוא הוכחה מבורכת לעמדתנו. אנו מקווים שההחלטה תפוגג את החששות שרבים מהמנמ"רים הביעו לגבי המקרה". ה-SEC סירבה להגיב אך מסרה, כי "החלטתה אינה משקפת בהכרח את עמדתה בכל תיק אחר".

בראון כתב בלינקדאין, כי "זו הייתה דרך ארוכה, ואני שמח שזה סוף סוף נגמר. לא עשינו דבר לא נכון ונלחמנו בלא לאות בשלוש השנים האחרונות כדי להוכיח זאת".

הגישה של ה-SEC הייתה לנקודת מחלוקת עבור מנהלי אבטחה ויועצים משפטיים בארגונים שונים. הם הזהירו שהמקרה עלול למתוח את חוקי ניירות הערך הרבה מעבר לגבולותיו המסורתיים. לראייתם, ה-SEC רצתה להטיל אחריות על מנהלים בודדים, בשל פערי אבטחה – שרבים ראו בהם פערים תפעוליים – ולא פיננסיים.

אנליסטים ציינו שביטול התביעה משקף שינוי בעמדת ה-SEC. אכיפת אבטחת סייבר עוצבה בעיקר על ידי הנשיא ג'ו ביידן, והדמוקרטים בבירה תמכו בפעולות אכיפה אגרסיביות יותר. הרפובליקנים, לעומתם, טענו שה-SEC מגזימה. המצב השתנה עם מינויו בשנית של דונאלד טראמפ לנשיא.

חלק מהמומחים ציינו, כי "מדובר בתביעה היסטורית, שבה הקורבן של מתקפת סייבר הועמד לדין על ידי הממשלה. התביעה עלולה להוות תקדים, שיפגע במאמצים של חברות לשפר את מעמדן בסייבר".

בפברואר השנה הפכה סולארווינדס לחברה פרטית, ומנייתה חדלה מלהיסחר בבורסת ניו יורק. זאת, לאחר שנרכשה על ידי טרן/ריבר קפיטל בעסקה בשווי של 4.4 מיליארד דולר.