Комиссия по ценным бумагам и биржам США (SEC) прекратила судебное разбирательство в отношении IT-корпорации SolarWinds, допустившей серьёзные промахи в безопасности, и её руководителя по защите данных Тима Брауна. Ранее регулятор обвинял их в том, что инвесторы были дезинформированы о реальном состоянии защитных систем платформы, что позволило осуществить кибератаку SUNBURST в 2020 году, информирует The Register.
В совместном обращении, направленном в суд в прошлый четверг, SEC, SolarWinds и Тим Браун попросили официально закрыть гражданский иск. Комиссия пояснила, что ходатайство о прекращении дела подано «в рамках её дискреционных полномочий», однако это не гарантирует, что в будущем регулятор станет применять такой же подход к аналогичным ситуациям.
В SolarWinds заявили о «глубоком удовлетворении» результатом процесса. Компания акцентировала, что её сотрудники действовали корректно, а решение SEC стало «важным подтверждением» их позиции. Кроме того, завершение этого дела снизит напряжённость среди многих руководителей по кибербезопасности в других организациях, поскольку продолжение суда могло негативно отразиться на их деятельности. Генеральный директор SolarWinds отметил, что действия SEC открывают для компании новую главу.
Источник изображения: Tingey Injury Law Firm/unsplash.com
В рамках атаки SUNBURST злоумышленники внедрили скрытый доступ в систему сетевого мониторинга SolarWinds Orion, получив контроль над её внутренней инфраструктурой. Примерно 18 тысяч организаций установили вредоносное обновление, после чего около сотни из них подверглись атаке группы Cozy Bear, которую связывают с Россией. Среди пострадавших значатся Microsoft, Intel, FireEye, Cisco, а также министерства финансов, юстиции, обороны и энергетики США. Затронут был даже Государственный департамент страны.
В результате кибератаки руководство SolarWinds полностью пересмотрело свою стратегию защиты. По заявлениям компании, этот случай заставил их серьёзно отнестись к возникающим рискам и внедрить концепцию «Безопасность по умолчанию» (Secure by Design). Данный подход означает твёрдое намерение организации устанавливать более строгие критерии надёжности и защищённости программных продуктов, создавая таким образом ориентир для всей отрасли.
В судебном иске SEC 2023 года SolarWinds и её руководитель по кибербезопасности обвинялись в обмане вкладчиков касательно состояния защитных систем в октябре 2018 года, а впоследствии — в намеренном сокрытии реальных масштабов и серьёзности кибератаки. Примечательно, что SEC предъявила претензии не только юридическому лицу, но и персонально ответственному сотруднику. В июле 2024 года судья отклонил основную часть обвинений регулятора. К апрелю 2025 года акции организации были сняты с биржевых торгов, а сама компания перешла под контроль Turn/River Capital. В июле 2025 года появилась информация о достижении сторонами принципиального соглашения по урегулированию конфликта.
Источник:
