פריצת ענק? סולארווינדס המשיכה לשלם לבכירים בה סכומי עתק

הנחה סבירה היא שבחברה שקורה בה אירוע שמניב לה נזק עצום – למשל מתקפת סייבר בממדים עצומים, משכורות ותנאי הבכירים ייפגעו, אם הם בכלל יישארו בעבודתם. לא כך בסולארווינדס: החברה שילמה לבכיריה ב-2020 יותר מ-65 מיליון דולר, למרות מתקפת הענק בסייבר, שחשפה 18 אלף לקוחות שלה לפגיעה פוטנציאלית על ידי האקרים שלוחי שירות המודיעין הרוסי.

ספקית ניהול תשתיות ה-IT לא ביצעה לאחר הפריצה התאמות לתגמול המנהלים (כלומר, קיצוץ במשכורת ובשאר התנאים שהם מקבלים ממנה), המבוסס על ביצועים לשנת 2020. בסך הכול, ששת המנהלים הבכירים ביותר בסולארווינדס הרוויחו אשתקד 65.03 מיליון דולר, כאשר 59.66 מיליון – כמעט 92% מהסכום – הגיעו בצורת פיצוי מבוסס מניות.

הנתונים נכללים במסמכים שהחברה הגישה לרשות ניירות הערך האמריקנית, שמהם עולה בנוסף שהיא הוציאה לפחות 21.5 מיליון דולר על ניקוי מערכות המחשוב שלה מהנוזקה שפשטה ועל התאוששות ממתקפת הסייבר. יצוין שאם וכאשר יהיו קיצוצים בעתיד, כמה ממנהלי סולארווינדס שעבדו עת בעת הפריצה לא יושפעו מהם, כי הם עזבו אותה.

בתגובה לדיווח מסרה החברה כי "הרוב הניכר של פיצוי המנהלים מתייחס למענקי הון שהונפקו ברבעון הראשון של 2020 או למענקים ששונו במהלך השנה עקב משבר הקורונה. הערך המלא של המענקים לא יכול להתממש, אלא אם כן הם יישארו מועסקים לאורך כל התקופה הרלוונטית, שיכולה להימשך עד ארבע שנים". אנליסטים ציינו ש-"כך נוצר מצב אבסורדי במעט שבמסגרתו ששת הבכירים קיבלו מניות בשווי של מיליוני דולרים – על אף שמחיר המניות של החברה צנח בכמעט 20% בשנה שעברה".

כמה קיבל המנכ"ל?

לפי הנתונים, חבילת השכר הכוללת ב-2020 של מנכ"ל סולארווינדס היוצא, קווין תומפסון, עמדה על 25.5 מיליון דולר, וכללה תשלום בונוס בסך 875 אלף דולר. הנתון משקף יחס של פי 344 על הפיצוי החציוני, של 74,180 דולר, שקיבלו 3,339 עובדי החברה. לאחר שפרש מתפקידו כמנכ"ל, בסוף השנה, סולארווינדס הסכימה לשלם לתומפסון 312,500 דולר נוספים, עד סוף מאי הבא, כדי לסייע לחברה להתגונן מהחקירות שנבעו בשל מתקפת הסייבר הענקית. בעבר פורסם בניו-יורק טיימס כי "בחברה מנעו מלממש ולאכוף נהלי אבטחה נפוצים בתקופת כהונתו של תומפסון – בגלל העלות שלהם. כמה מהצעדים שנמנעו הביאו לכך שהחברה העמידה את עצמה ואת לקוחותיה בסיכון גדול יותר למתקפה".

יצוין שכמעט 78% ממניות סולארווינדס נמצאים בבעלות הקרנות סילבר לייק ותומא בראבו. הן רכשו את החברה תמורת 4.5 מיליארד דולר בפברואר 2016 ואז הנפיקו אותה שוב בסוף 2018. לפני כחודשיים הודיעה החברה כי תוציא השנה בין 20 ל-25 מיליון דולר על יוזמות אבטחה, כשחלק מהכסף ינוצל לכיסוי עלויות גבוהות יותר סביב דמי הביטוח.

סולארווינדס עומדת בפני תביעות רבות וחקירות הקשורות לפריצה. החברה כבר הודיעה כי "זה אפשרי באופן סביר" שהיא עלולה לסבול הפסדים מהתהליך. תביעות ייצוגיות מרובות מאשימות את החברה והקרנות האוחזות בבעלות עליה ב-"הצהרות שקריות ומטעות באופן מהותי בנוגע למצב האבטחה של החברה".

"המתקפה הגדולה והמתוחכמת ביותר שהעולם ראה אי פעם"

מי שחשפו בדצמבר האחרון את המתקפה על סולארווינדס ותוכנת אוריון שלה הן ענקית האבטחה פייראיי וכן מיקרוסופט. היא החלה בספטמבר-אוקטובר 2019 והואצה במרץ 2020. היקף הארגונים, הסוכנויות הממשלתיות והפרטים שנפגעו ממנה טרם הוברר עד הסוף, אולם מדובר במאות, לכל הפחות. היא נוצרה בשל נוזקה בשם ש-"הולבשה" על אוריון, שמשמשת לניהול וניטור הרשת. כ-18 אלף ארגונים, לקוחות סולארווינדס, הורידו את עדכון הגרסה המזוהם. מיקרוסופט הודיעה כי בין הלקוחות שנפגעו יש גם ארגונים מישראל.

הענקית מרדמונד הייתה הקורבן השני מהמגזר הפרטי שנחשף לאחר פייראיי. חברות גדולות נוספות שנפלו קורבן למתקפת הענק הן VMware, סיסקו, אינטל, אנבידיה, בלקין – יצרנית נתבי Wi-Fi וציוד רשת ביתי, וחברת הייעוץ דלויט. במגזר הציבורי, רבים מהקורבנות למתקפה הגיעו מהממשל האמריקני, בהם משרדי החוץ, האוצר, האנרגיה והגנת המולדת, מינהל הטלקום והמידע הלאומי במשרד המסחר, סוכנויות מודיעין דוגמת CISA – הסוכנות לאבטחת סייבר ותשתיות – ומינהל ביטחון הגרעין הלאומי, NNSA, שמטפל במאגר אמצעי הלחימה הגרעיניים של ארצות הברית.

בפברואר השנה אמר בראד סמית', נשיא מיקרוסופט, כי "הייתה זו המתקפה הגדולה והמתוחכמת ביותר שהעולם ראה אי פעם. במתקפת הענק, שערכה קבוצה של האקרים רוסים, המקורבת לקרמלין, השתתפו מספר עצום של מפתחים".