יועץ אבטחה בסולארווינדס הזהיר מפני סיכוני סייבר – והתעלמו ממנו

יועץ אבטחה, שעבד בעבר בסולארווינדס (SolarWinds), הזהיר לפני שנים את הנהלת החברה מפני סיכוני אבטחת סייבר, ואף הציג בפניה תוכנית לשיפור רמת האבטחה בחברה – אלא שהנהלת סולארווינדס התעלמה מדבריו.

במצגת Powerpoint בת 23 שקפים, שנבדקה על ידי בלומברג ניוז, איאן ת'ורנטון-טראמפ המליץ ​​למנהלי החברה בשנת 2017 כי עליהם למנות מנהל בכיר לאבטחת סייבר, ואמר להם כי "הישרדות החברה תלויה במחויבות פנימית לאבטחה". חודש לאחר מכן הוא סיים את עבודתו בחברה ואמר, כי הוא מאמין ש"המנהיגות שלה לא מעוניינת לבצע שינויים בעלי השפעה משמעותית".

ת'ורנטון-טראמפ, כמו גם מהנדס תוכנה לשעבר של סולארווינדס ששוחח עם סוכנות הידיעות, אמרו, כי לאור סיכוני אבטחת הסייבר שנתגלו בחברה, הם צפו, כי "פריצה גדולה לחברה היא בלתי נמנעת".

"אני מאמין כי בהיבט האבטחה, סולארווינדס הייתה יעד קל להפליא לפריצה", אמר ת'ורנטון-טראמפ, כיום מנהל אבטחת המידע הראשי בחברת מודיעין האיומים Cyjax. ת'ורנטון-טראמפ עבד ב-LogicNow, חברת מחשוב ענן בריטית, שנרכשה על ידי סולארווינדס ביוני 2016.

"מניסיוני", אמר, "סולארווינדס לא השקיעה מספיק בבניית תרבות אבטחת סייבר בחברה". בהודעת דואר אלקטרוני שהסבירה את הסיבות לעזיבתו, אותה הוא שלח למנהל שלו בחברה, ב-15 במאי 2017, ת'ורנטון-טראמפ כתב, כי הוא "איבד אמון בהנהלת החברה. נראה כי ההנהלה אינה מוכנה לבצע את התיקונים הנחוצים לדעתי להמשך התמיכה במותג האבטחה שבניתי ב-LogicNow. היה חוסר באבטחה ברמת המוצר הטכני, והייתה מנהיגות בצמרת, שהאבטחה עניינה אותה במידה מינימלית", אמר ת'ורנטון-טראמפ, "כבר ב-2015 ידענו שהאקרים מחפשים כל מסלול לחדור לעסק. אבל סולארויינדס לא הסתגלו. זו הטרגדיה. היו הרבה לקחים שאפשר היה להפיק, אבל החברה לא שמה לב למתרחש".

בתגובה לדיווח, אמר דובר סולארווינדס כי "בראש סדר העדיפויות שלנו עומדת העבודה שלנו עם לקוחותינו, שותפינו בתעשייה וסוכנויות ממשלתיות – כדי לקבוע אם ממשלה זרה תזמרה את המתקפה. אנו נדרשים להבין בצורה הטובה ביותר את מלוא היקפה ולסייע במתן מענה לכל הצרכים המתפתחים של הלקוחות. אנו מבצעים עבודה זו במהירות ובשקיפות ככל האפשר. (לאחר מכן) יהיה הרבה זמן להביט אחורה, ואנחנו מתכננים לעשות זאת בצורה שקופה". בנוסף, החברה הודיעה כי היא "משתפת פעולה עם רשויות החוק וממשיכה לאסוף את כל המידע הרלוונטי כדי להבטיח שאירוע כזה לא יקרה שוב".

עינת מירון, יועצת חוסן סייבר לארגונים, אמרה כי "חשוב להבין, בכל מקרה של מתקפת סייבר, תמיד, אבל תמיד, יתברר שאפילו צעדים קטנים של אחריות ומעורבות בלבד מצידה של ההנהלה – היו מצמצמים את החשיפה לסיכון ואפילו לעיתים מונעים אותו". לדבריה, "בכל ארגון שהותקף ניתן למצוא עשרות של מערכות הגנה טכנולוגיות ועדיין, כאמור, המתקפה מצליחה. ארגונים בארץ, כמו גם בעולם, משתמשים בתפיסות הגנה שכבר מזמן לא רלוונטיות ולא עומדות בקצב של התוקפים. מנהלים וחברי דירקטוריון חייבים – וזה כבר לא עניין של אפשרות, או שילוב עתידי בתוכנית העבודה – לעצור הכל ולהתחיל כבר עכשיו לשאול שאלות ברורות. עליהם להתייעץ במי שמומחים באמת בסיכוני סייבר עסקיים – ולא רק טכנולוגיים. זאת, כדי לחסוך לעצמם ולנו, הציבור, את הסיכון ממתקפת סייבר עליהם".