סנונית ראשונה: תביעה ייצוגית נגד סולארווינדס בגין מתקפת הסייבר הענקית
בתביעה נטען, כי "החברה ניפקה הצהרות כוזבות ומטעות באופן מהותי" על מצב אבטחת המידע שלה לאורך 2020 ● בלא קשר למשפט, נודע גם שהמנכ''ל הורה לקצץ בהוצאות האבטחה כדי להגדיל את שולי הרווח של החברה
חלפו שבועות ספורים מאז מתקפת הסייבר הענקית שערכה קבוצת האקרים רוסית, מתקפה שפגעה במאות ארגונים ובעשרות גופים פדרליים בארה"ב, והנה מגיע השלב הבא: המעבר לשדה המשפטי. לבית המשפט המחוזי במחוז המערבי של טקסס הוגשה שלשום (ב') בקשה לתביעה ייצוגית ראשונה – עוד תביעות צפויות בהמשך – נגד סולארווינדס (SolarWinds). כזכור, מתקפת הסייבר התבססה על עדכון בתוכנת ניהול הרשת שלה, Orion, שהכילה נוזקה. בתביעה נטען, כי סולארווינדס ניפקה הצהרות שקריות ומטעות באופן מהותי על מצב אבטחת המידע שלה לאורך שנת 2020.
סולארווינדס, קווין תומפסון, המנכ"ל היוצא שלה, וברטון קלסו, סמנכ"ל הכספים, כך נטען – "הצהירו הצהרות שקריות ו/או מטעות" במסמכים שהגישו ל-SEC, הרשות לניירות ערך בארה"ב – בארבעה מועדים: בפברואר, במאי, באוגוסט ובנובמבר 2020. בתביעה בת 15 העמודים נטען, כי "סולארווינדס הציגה (נתונים) באופן שגוי ולא חשפה את העובדות השליליות הנוגעות לעסקי החברה, לתפעולה ולתחזיות שלה – פרטים שהיו ידועים לנתבעים – או שהם התעלמו מהם באופן נמהר ופזיז. תומפסון וקלסו הם ששלטו בתוכן הדיווחים, ההודעות לעיתונות והמסמכים שהוגשו לרגולטורים בשנת 2020".
הייצוגית הוגשה על ידי טימותי ברמר, תושב מחוז ג'פרסון, קנטקי, שקנה שתי מניות של החברה בספטמבר האחרון, ועוד 38 מניות באוקטובר. מאז גילוי הפריצה, מניות החברה צנחו ביותר משליש מערכן, 38%. "כתוצאה ממעשיהם השגויים וממחדליהם של הנתבעים, והירידה בשווי השוק של החברה, נגרמו לתובע ולבעלי מניות אחרים הפסדים ונזקים משמעותיים", נכתב.
התביעה מאשימה את החברה ואת מנהליה הבכירים בכך שלא גילו, כי מאז אמצע 2020, הייתה לתוכנת הניטור שלה, Orion, פגיעות שאפשרה להאקרים לפרוץ לשרת שעליו רצו התוכנות. עוד נטען, כי לשרת העדכונים של סולארווינדס הייתה סיסמת גישה שניתן להגיע אליה בקלות: 'solarwinds123'. בנוסף, עדכוני Orion שהכילו נוזקה – היו עדיין זמינים להורדה ימים לאחר שהחברה הבינה שהתוכנה שלה נדבקה. "כתוצאה מכך, לקוחות החברה, לרבות ארגוני הממשל הפדרלי, מיקרוסופט, סיסקו ואנבידיה (Nvidia), היו חשופים לפריצות. הצהרות הנתבעים על עסקיה ופעילותה של החברה היו שקריות ומטעות באופן מהותי, או חסרות בסיס סביר בכל הזמנים הרלוונטיים. בשל כך, החברה סבלה מפגיעה משמעותית במוניטין שלה".
התביעה מבקשת מהמושבעים לשקול אם מחיר מניית סולארווינדס נופח באופן מלאכותי החל מפברואר האחרון ועד ה-15 בדצמבר, בהתבסס על התנהלות החברה. "אילו ברמר או בעלי מניות אחרים היו מודעים לכך, שמחיר השוק של המניה נופח באופן מלאכותי על ידי הצהרות מטעות וגילויים לא מספקים, הם כלל לא היו רוכשים את מניות החברה", נכתב.
בהצהרה לתקשורת, סולארווינדס לא התייחסה ישירות לייצוגית שהוגשה נגדה, ואמרה, כי היא "מתמקדת אך ורק בסיוע לתעשייה וללקוחותינו להבין ולמתן את נזקי המתקפה. שחררנו במהירות עדכוני תוכנה ללקוחות, שלדעתנו יסגרו את הפגיעות. ביצענו גם כמה צעדים לאבטחת הרשת והמוצרים שלנו, בין השאר באמצעות כלים מתקדמים לזיהוי ולניטור נקודות קצה".
בלא קשר לתביעה, עובדי החברה סיפרו לעיתונות הטכנולוגית בארה"ב, כי תומפסון, המנכ"ל היוצא, הורה לקצץ בהוצאות אבטחת המידע של החברה כדי לחסוך בעלויות. הנחייתו זו הביאה להגדלה משמעותית, של כמעט פי שלושה, בשולי הרווח השנתיים של החברה: מ-152 מיליון דולרים ב-2010 ליותר מ-453 מיליון ב-2019. היא נאלצה להגדיל את הוצאותיה בתחום ב-2017, על מנת לענות לתקנות הגנת הפרטיות שחוקקו באירופה. מהלך נוסף להפחתת ההוצאות היה להעביר חלק מפעילות ההנדסה למזרח אירופה. אנליסטים ציינו, כי ייתכן שהמעבר של חלק מהפעילות שלה לצ'כיה, לפולין ולבלארוס – הוא זה שגרם לפריצה, שכן במדינות הגוש הסובייטי לשעבר נמצאים אנשי ביון רוסי רבים.
תגובות
(0)