SEC dient klacht in tegen SolarWinds en betrokken CIO

SEC meldt: 'Volgens de klacht heeft SolarWinds investeerders opgelicht door haar cyberbeveiligingspraktijken te overdrijven en bekende risico's te onderschatten of niet openbaar te maken. De klacht van de SEC duidt op een robuuste handhaving door de SEC van cyberbeveiligingsgerelateerde schendingen van effecten, waaronder het niet openbaar maken van bekende materiële cyberbeveiligingsrisico's en het onvermogen om adequate cyberbeveiligingscontroles te handhaven. In een persbericht waarin de beschuldigingen worden aangekondigd, stelt Gurbir S. Grewal, directeur van de Afdeling Handhaving van de SEC: “De handhavingsactie van vandaag beschuldigt SolarWinds en Brown niet alleen van het misleiden van het investerende publiek en het niet beschermen van de ‘kroonjuweel’-activa van het bedrijf, maar onderstreept ook onze boodschap aan emittenten: implementeer sterke controles die zijn afgestemd op uw risicoomgeving en op niveau met beleggers over bekende zorgen.”

In het licht van de verhoogde cyberveiligheidsrisico’s en de SEC die prioriteit geeft aan de handhaving van cyberveiligheidsschendingen, hebben klokkenluiders op het gebied van cyberveiligheid een sterke prikkel om cyberveiligheidsschendingen te melden om mogelijk in aanmerking te komen voor een SEC-klokkenluidersonderscheiding en kunnen zij een cruciale rol spelen bij de bescherming tegen cyberinbreuken en -aanvallen.

Klokkenluiders op het gebied van informatiebeveiliging en gegevensprivacy zijn vaak in een positie om kwetsbaarheden te identificeren en te verhelpen – en daarmee inbreuken te voorkomen – als besluitvormers maar actie zouden ondernemen op basis van hun zorgen. In onze praktijk als vertegenwoordiger van klokkenluiders op het gebied van cyberbeveiliging zien we dat hoofdfunctionarissen voor informatiebeveiliging en andere professionals op het gebied van informatiebeveiliging maar al te vaak te maken krijgen met onverschilligheid of vergelding wanneer zij hun zorgen over kwetsbaarheden uiten. Het SEC-klokkenluidersprogramma biedt een krachtige stimulans voor klokkenluiders op het gebied van cyberbeveiliging om overtredingen aan de SEC te melden en de SEC te helpen bij het nemen van beslissende handhavingsacties die registranten zullen aanmoedigen om nauwkeurige informatie over cyberbeveiliging te verstrekken en passende cyberbeveiligingscontroles te handhaven.

Dit bericht bespreekt de implicaties van de aanklachten tegen SolarWinds en hoe cybersecurity-klokkenluiders in aanmerking kunnen komen voor een SEC-klokkenluidersprijs .

SEC-klacht tegen SolarWinds

In de klacht wordt beweerd dat er kennelijk sprake is van een flagrant onvermogen om aanzienlijke kwetsbaarheden op het gebied van de cyberbeveiliging te verhelpen en dat de risico's die uit deze kwetsbaarheden voortvloeien voor de aandeelhouders verborgen blijven:

• SolarWinds zou investeerders hebben misleid door alleen generieke en hypothetische risico's openbaar te maken in een tijd dat het bedrijf en zijn CIO op de hoogte waren van specifieke tekortkomingen in de cyberbeveiligingspraktijken van SolarWinds.
• De publieke verklaringen van SolarWinds over haar cyberbeveiligingspraktijken en -risico's waren in strijd met haar interne beoordelingen, waaronder interne e-mails en presentaties waaruit bleek dat SolarWinds zich ervan bewust was dat de “huidige veiligheidstoestand [het] in een zeer kwetsbare staat achterlaat voor [zijn] kritieke activa. ”, “[a]toegang en privileges tot kritieke systemen/data zijn ongepast”, “backends zijn niet zo veerkrachtig”, “het aantal beveiligingsproblemen dat wordt geïdentificeerd . . . het vermogen van de technische teams om problemen op te lossen te boven ging”, en “de producten zitten vol raadsels, en dat is duidelijk al jaren het geval.”
• SolarWinds heeft zijn bekende slechte cyberbeveiligingspraktijken voor het publiek verborgen gehouden, waaronder (a) het onvermogen om consequent een veilige ontwikkelingslevenscyclus te handhaven voor de software die het heeft ontwikkeld en aan duizenden klanten heeft geleverd, (b) het onvermogen om het gebruik van sterke wachtwoorden op alle systemen af ​​te dwingen, en (c) het onvermogen om problemen met de toegangscontrole op te lossen die jarenlang aanhielden.
• SolarWinds was op de hoogte van een ‘beveiligingslek’ met betrekking tot zijn VPN, waardoor toegang mogelijk was vanaf apparaten die niet door SolarWinds werden beheerd. Een netwerkingenieur waarschuwde dat iemand die misbruik maakt van de kwetsbaarheid “in principe alles kan doen zonder dat wij het ontdekken, totdat het te laat is.”
• De beveiligingsverklaring van SolarWinds bevatte meerdere materieel valse en misleidende verklaringen. Het bevatte positieve informatie over de staat van de cyberbeveiligingspraktijken van het bedrijf, maar er werd geen informatie in opgenomen, zoals het feit dat SolarWinds er niet in slaagde aan meer dan de helft van de NIST-normen te voldoen.
• Toen SolarWinds een formulier 8-K indiende waarin het voor het eerst aankondigde dat zijn Orion-software voor netwerkbewaking kwaadaardige code bevatte die door bedreigingsactoren was ingevoegd als onderdeel van een aanval op de toeleveringsketen, verzuimde het te onthullen dat de kwetsbaarheid in kwestie actief was uitgebuit tegen SolarWinds. ' klanten meerdere keren gedurende een periode van minimaal zes maanden.

De klacht laat zien hoe de SEC regels voor fraudebestrijding en interne controle toepast op schendingen van de cyberbeveiliging, waaronder twee belangrijke kwesties:

• De SEC is bereid handhavingsmaatregelen te nemen als er geen kwetsbaarheden in de cyberbeveiliging worden bekendgemaakt als er geen inbreuk of aanval plaatsvindt. In de klacht staat: “Voor alle duidelijkheid: de slechte controles van SolarWinds, de valse en misleidende verklaringen en weglatingen van de gedaagden en het andere wangedrag dat in deze klacht wordt beschreven, zouden in strijd zijn geweest met de federale effectenwetten, zelfs als SolarWinds geen grote, gerichte cyberveiligheidswetten had ervaren. aanval."
• Generieke openbaarmakingen over hypothetische cyberveiligheidsrisico's zullen niet volstaan ​​als een bedrijf zich bewust is van verhoogde risico's en deze risico's uit de openbaarmakingen weglaat. Hier documenteerde SolarWinds intern dat “de huidige veiligheidstoestand [het] in een zeer kwetsbare staat brengt voor [zijn] kritieke activa”, maar het maakte deze risico’s niet openbaar aan de aandeelhouders. In de klacht staat: “De onthullingen van SolarWinds konden de hierboven besproken bekende risico's niet overbrengen, of zelfs dat bekende risico's van dit type waren geïdentificeerd. Zelfs als sommige van de individuele risico's en incidenten die in deze klacht worden besproken op zichzelf niet zo hoog waren geworden dat openbaarmaking vereist was, creëerden ze in ieder geval collectief zo'n verhoogd risico voor SolarWinds dat het onvermogen om hun collectieve impact op de cyberbeveiligingspositie van SolarWinds bekend te maken maakte de risico-informatie die SolarWinds deed wezenlijk misleidend.”

Schendingen van cyberbeveiligingseffecten

De klacht tegen SolarWinds betreft schendingen van de volgende bepalingen van de federale effectenwetten:

• de antifraudebepalingen van de Securities Act van 1933 (Section 17(a) van de Securities Act,15 USC § 77q(a));
• de antifraudebepalingen van de Securities Exchange Act van 1934 (Section 10(b) van de Exchange Act, 15 USC § 78j(b), en Rule 10b-5(b), 17 CFR § 240.10b-5);
• de bepalingen inzake rapportage en interne controles van de Exchange Act (sectie 13(a) van de Exchange Act, 15 USC § 78m(a)] en regels 13a-1, 13a-11 en 13a-13 daaronder, 17 CFR §§ 240.13 a-1, 240.13a-11 en 240.13a-13), die vereisen dat uitgevende instellingen nauwkeurige rapporten indienen op formulieren 10-K, 10-Q en formulier 8-K;
• Sectie 13(b)(2)(B) van de Exchange Act, 15 USC § 78m(b)(2)(B), die vereist dat registranten een systeem van interne boekhoudcontroles opzetten en onderhouden dat voldoende is om redelijke garanties te bieden dat toegang aan activa is alleen toegestaan ​​in overeenstemming met de algemene of specifieke toestemming van het management; En
• Exchange Act Rule 13a-15(a), die beursgenoteerde bedrijven verplicht om openbaarmakingscontroles en -procedures te handhaven om ervoor te zorgen dat informatie die door een uitgevende instelling openbaar moet worden gemaakt, wordt verzameld en aan het management van de uitgevende instelling wordt gecommuniceerd om tijdige beslissingen over de vereiste openbaarmaking mogelijk te maken.

In december 2023 zal de SEC over een aanvullend instrument beschikken om schendingen van de cyberveiligheid te bestrijden, doordat de onlangs aangenomen regels inzake cyberveiligheidsrisicobeheer, strategie, bestuur en openbaarmaking van incidenten van kracht zullen worden. Deze regels vereisen dat registranten materiële cyberveiligheidsincidenten die zij ervaren openbaar maken en jaarlijks materiële informatie openbaar maken over hun cyberveiligheidsrisicobeheer, -strategie en -beheer.

Nieuw Formulier 8-K Item 1.05 vereist dat registranten elk cyberbeveiligingsincident dat zij als materieel beschouwen openbaar maken en de materiële aspecten van de aard, reikwijdte en timing van het incident beschrijven, evenals de materiële impact of redelijkerwijs waarschijnlijke materiële impact van het incident. incident met de registrant. En de nieuwe Verordening SK Item 106 zal van registranten eisen dat zij hun processen beschrijven voor het beoordelen, identificeren en beheren van materiële risico's van cyberveiligheidsbedreigingen en het toezicht van de raad van bestuur op de risico's van cyberveiligheidsbedreigingen en de rol en expertise van het management bij het beoordelen en beheren van materiële risico's van cyberveiligheidsbedreigingen. bedreigingen voor de cyberveiligheid. De nieuwe Verordening SK Item 106 zal van kracht zijn voor jaarverslagen voor boekjaren die eindigen op of na 15 december 2023 en de vereisten voor het openbaar maken van incidenten in Formulier 8-K Item 1.05 zullen rond 18 december 2023 van kracht worden.

SEC Klokkenluidersprijs voor klokkenluiders op het gebied van cyberbeveiliging

Op grond van het SEC Klokkenluidersprogramma is de SEC verplicht om beloningen uit te betalen aan in aanmerking komende klokkenluiders die vrijwillig de SEC voorzien van originele informatie die leidt tot een succesvolle handhavingsactie die resulteert in geldelijke sancties van meer dan $ 1 miljoen.

Een klokkenluider op het gebied van cyberbeveiliging kan een beloning ontvangen van tussen de 10% en 30% van de totale geldelijke sancties die zijn opgelegd. Indien vertegenwoordigd door een advocaat , kan een klokkenluider anoniem een ​​tip doorgeven aan de SEC.

Sinds 2012 heeft de SEC meer dan $1,8 miljard aan beloningen uitgedeeld aan klokkenluiders. Klokkenluidersadvocaten van de SEC kunnen klokkenluiders tijdens dit hele proces kritische begeleiding bieden om hun identiteit te beschermen en de kans te vergroten dat zij hun beloning niet alleen verkrijgen, maar ook maximaliseren. Bekijk onze tips om een ​​SEC-klokkenluidersonderscheiding te verkrijgen .

Federale en staatswetten ter bescherming van klokkenluiders beschermen klokkenluiders op het gebied van cyberbeveiliging tegen vergelding , waaronder de Sarbanes-Oxley Act , de False Claims Act en de Defense Contractor Whistleblower Protection Act.'