Корпоративна Америка се уплаши от разследването на атаката срещу SolarWinds

Разследването на американската Комисия по ценни книжа и борси (SEC) на руската хакерска операция срещу SolarWinds е разтревожило десетки корпоративни мениджъри, които се страхуват, че информацията, която ще стане известна по време на разширяващото се разследване, ще ги изложи на съдебна отговорност, според източници на "Ройтерс", запознати с разследването

SEC иска от компаниите да предадат документи за „всякакви други“ атаки, довели до неправомерен достъп до данни или искане на откуп от октомври 2019 г., ако са изтеглили заразената актуализирана версия на софтуера за управление на мрежи от SolarWinds Corp, която доставя продукти, използвани във всички сектори на икономиката на САЩ.

Хора, запознати с разследването, казват, че исканията могат да разкрият множество нерегистрирани кибер инциденти, които не са свързани с руската шпионска кампания, давайки на SEC невероятен достъп до информация за инциденти, които компаниите вероятно никога не са имали намерение да разкриват.

„Никога не съм виждал нещо подобно“, каза консултант, който работи с десетки публично търгувани компании, които наскоро са получили искането. "Това, което притеснява компаниите, е, че те не знаят как SEC ще използва тази информация. И повечето компании са били жертва на нерегистрирани атаки оттогава."

Исканията са доброволни, а компаниите са длъжни да разкриват всичко съществено на инвеститорите. Но фактът, че запитванията идват от служителите на SEC, може да увеличи перспективите за разследвания и строги санкции, ако компаниите не разкрият нарушенията или не са имали подходящ контрол за справяне с минали атаки, заявиха четирима адвокати, които редовно разглеждат дела на SEC.

Служител на SEC заяви, че намерението на искането е да открие други нарушения, свързани с инцидента със SolarWinds.

SEC каза на компаниите, че няма да бъдат санкционирани, ако доброволно споделят данни за хакерската атака чрез SolarWinds, но не е предложила такава амнистия за други атаки.

Кибератаките нараснаха както по честота, така и по въздействие, което предизвика дълбока загриженост в Белия дом през последната година. Американските служители обвиняват компаниите, че не разкриват подобни събития, като твърдят, че това скрива степента на проблема от акционерите, политиците и правоприлагащите органи.

Хора, запознати с разследването на SEC, казаха пред "Ройтерс", че исканията са изпратени до стотици компании, включително много от технологичния, финансовия и енергийния сектор, за които се смята, че са потенциално засегнати от атаките срещу SolarWinds. Този брой надхвърля 100-те, които според Министерството на вътрешната сигурност са изтеглили компрометирания софтуер на SolarWinds и след това са го използвали.

От миналата година само около две дузини фирми бяха публично идентифицирани като засегнати, включително Microsoft Corp, Cisco Systems, FireEye Inc и Intel Corp. Cisco е потвърдила, че е получила писмото на SEC и е отговорила на искането.

Изследванията в областта на киберсигурността също така показват, че производителят на софтуер Qualys Inc и петролната енергийна компания Chevron Corp са сред тези, които са били цел на руската кибер операция. И двете компании са отказали коментар.

Около 18 000 клиенти на SolarWinds изтеглиха хакната версия на техния софтуер, който киберпрестъпниците манипулираха, за да получат потенциален бъдещ достъп. И все пак само малка част от тези клиенти са видели последващи хакерски дейности, което предполага, че нападателите са заразили много повече компании, отколкото в крайна сметка са станали жертви.

SEC изпрати писма миналия месец до компании, за които се смята, че са засегнати, след първоначално искане, изпратено през юни, според шест източника, които са видели писмата.

Втората вълна от искания са били адресирани до компании от първия кръг, които не са отговорили. Точният брой на получателите е неизвестен.

Настоящото разследване е "безпрецедентно", каза Джина Чой, партньор в LLP Morrison & Foerster и бивш директор на SEC, която е работила по случаи, засягащи киберсигурността.

„Не мога да си спомня разследване с такъв размах, което не е обявено публично, така че хората наистина да разберат каква е целта на разследването на SEC“, каза тя.

Въпреки че SEC издаде насоки преди десетилетие, призовавайки компаниите да разкриват хакерски атаки, които биха могли да бъдат съществени, и актуализираха тези насоки през 2018 г., много разкрития са умишлено неясни или формални, казаха адвокати. 

Бившият служител на SEC Джей Дубоу каза, че подходът на SEC може да не е свързан толкова с налагането на контрол, а комисията наистина да се опитва да разбере въздействието на инцидента със SolarWinds.

"SEC беше изправена пред ситуация, в която имате SolarWinds и толкова много от нейните клиенти бяха публични компании и други държавни агенции. Кой е най-ефективният начин SEC да се опита да разбере степента на всичко това?" каза Дубоу, адвокат в Troutman Pepper.

Понякога регулаторите се колебаят да наказват компаниите за подобни проблеми, тъй като те са жертви на тези атаки.

Гари Генслер, който пое управлението на SEC през април, възложи на агенцията да издаде нови изисквания за разкриване на информация, вариращи от киберсигурността до риска от климатични промени.

Докато за хакерската атака бе съобщено преди повече от девет месеца, действителното въздействие на широкомащабната операция по дигитално шпиониране, за която американските представители твърдят, че идва от руска разузнавателна служба, остава до голяма степен неизвестна.

Правителствените служители не споделят изчерпателна информация какво точно е откраднато или за целите на атаката, но я описват като традиционен правителствен шпионаж.

В десетки документи на SEC, прегледани от "Ройтерс", повечето компании говорят за атаката само като пример за вида на проникване, на което един ден биха могли да станат жертва. От тези, които казват, че имат инсталиран софтуер SolarWinds, повечето казват, че не вярват, че са компрометирани най-чувствителните им данни.

Но някои компании, които разкриват, че хакерите са влезли в техните системи, като например Sana Biotech, признаха, че не могат да бъдат сигурни, че нямат по-голям проблем.

„Въпреки че продължават разследванията относно степента, до която нашата поверителна информация е била достъпна, загубена или открадната в резултат на тази кибератака срещу SolarWinds, всеки такъв достъп, загуба или кражба може да има съществено неблагоприятно въздействие върху нашия бизнес“, казват от Sana Biotech.

Джон Рийд Старк, бивш ръководител на офиса на SEC за прилагане на интернет регулации, заяви, че „компаниите ще имат проблеми да отговорят на тези въпроси - не само защото това са широки всеобхватни искания, но и защото SEC ще открие всички пропуски" в това, което преди това са разкрили.