ديسمبر 23, 2024

Alqraralaraby

الأخبار والتحليلات من الشرق الأوسط والعالم والوسائط المتعددة والتفاعلات والآراء والأفلام الوثائقية والبودكاست والقراءات الطويلة وجدول البث.

القاضي في قضية SolarWinds يرفض إشراف لجنة الأوراق المالية والبورصات على ضوابط الأمن السيبراني

رفض قاض فيدرالي في قضية ناجمة عن واحدة من أسوأ الهجمات الإلكترونية المعروفة مسعى لجنة الأوراق المالية والبورصات للإشراف على ضوابط الأمن السيبراني للشركات، مما خفف من مخاوف الشركات من تعرضها للعقوبات من قبل الجهات التنظيمية بعد الخروقات التي شنها قراصنة يتمتعون بموارد جيدة.

في قضية تمت مراقبتها عن كثب والتي رفعتها الوكالة ضد شركة SolarWinds، ضحية القرصنة في عام 2020، منح قاضي المحكمة الجزئية الأمريكية بول أ. إنجيلماير يوم الخميس معظم طلب الشركة برفض الدعوى، معتبرا أن القوانين الحالية تمنح هيئة الأوراق المالية والبورصات السلطة فقط على الضوابط المالية، وليس جميع الضوابط الداخلية.

وكتب إنجلماير في مقاله: “إن المنطق الذي استندت إليه لجنة الأوراق المالية والبورصات، والذي يقضي بتفسير القانون بحيث يغطي على نطاق واسع جميع الأنظمة التي تستخدمها الشركات العامة لحماية أصولها القيمة، من شأنه أن يخلف عواقب وخيمة”. قرار من 107 صفحة.

“إن هذا من شأنه أن يمنح الوكالة سلطة تنظيم عمليات التحقق من الخلفية المستخدمة في توظيف حراس الأمن الليليين، واختيار الأقفال لمخازن التخزين، وتدابير السلامة في المتنزهات المائية التي تعتمد موثوقيتها على أصول حسن نية العملاء، وأطوال وتكوينات كلمات المرور المطلوبة للوصول إلى أجهزة الكمبيوتر الخاصة بالشركة”، كما كتب.

كما رفض القاضي الفيدرالي في مانهاتن ادعاءات لجنة الأوراق المالية والبورصات بأن إفصاحات سولارويندز بعد أن علمت أن عملائها تأثروا قد غطت بشكل غير لائق على خطورة الاختراق، حيث اتُهم عملاء المخابرات الروسية بالتنقيب في برنامج سولارويندز لأكثر من عام للدخول إلى العديد من الوكالات الفيدرالية وشركات التكنولوجيا الكبرى. ووصفت السلطات الأمريكية العملية، التي تم الكشف عنها في ديسمبر 2020، بأنها واحدة من أخطر العمليات في السنوات الأخيرة، ولا تزال عواقبها تظهر على الحكومة والصناعة.

في عصر أصبحت فيه حملات القرصنة المدمرة أمراً شائعاً، أثارت الدعوى قلق قادة الأعمال وبعض المسؤولين الأمنيين وحتى المسؤولين الحكوميين السابقين، كما عبرت عن ذلك مذكرات أصدقاء المحكمة التي طالبت برفضها. وزعموا أن إضافة المسؤولية عن التصريحات الخاطئة من شأنه أن يثني ضحايا القرصنة عن مشاركة ما يعرفونه مع العملاء والمستثمرين وسلطات السلامة.

قالت شركة سولارويندز التي يقع مقرها في أوستن إنها سعيدة لأن القاضي “منح إلى حد كبير اقتراحنا برفض مطالبات هيئة الأوراق المالية والبورصات”، مضيفة في بيان أنها “ممتنة للدعم الذي تلقيناه حتى الآن في جميع أنحاء الصناعة، من عملائنا، ومن متخصصي الأمن السيبراني، ومن المسؤولين الحكوميين المخضرمين الذين رددوا مخاوفنا”.

ولم تستجب هيئة الأوراق المالية والبورصات لطلب التعليق.

ولم يرفض إنجيلمير القضية بالكامل، مما سمح لهيئة الأوراق المالية والبورصات بمحاولة إثبات أن سولارويندز والمسؤول الأمني ​​الأعلى تيموثي براون ارتكبا احتيالا في مجال الأوراق المالية من خلال عدم التحذير في “بيان أمني” عام قبل الاختراق من أنها كانت تعلم أنها معرضة بشدة للهجمات.

وكتب إنجلماير في رسالته: “تزعم هيئة الأوراق المالية والبورصات أن سولارويندز وبراون قدما في بيان الأمن معلومات مضللة ومتواصلة، بل إن العديد منها يرقى إلى مستوى الأكاذيب الصريحة، حول كفاية ضوابط الوصول الخاصة بها. ونظراً لمركزية الأمن السيبراني في نموذج أعمال سولارويندز كشركة تقدم منتجات برمجية متطورة للعملاء الذين يشكل أمن الكمبيوتر بالنسبة لهم أهمية قصوى، فإن هذه المعلومات المضللة كانت جوهرية بلا شك”.

وقد أشاد القاضي بهيئة الأوراق المالية والبورصات لدعم هذه الحجة من خلال تحقيق أنتج رسائل داخلية وعروض تقديمية تنتقد ضوابط الوصول للشركة وسياسات كلمات المرور والقدرة المحدودة على مراقبة شبكاتها.

في عام 2019، أبلغ باحث أمني خارجي الشركة أنه تم الكشف عن كلمة مرور لخادم يستخدم لإرسال تحديثات البرامج: كانت “solarwinds 123”.

قبل عام من ذلك، حذر أحد المهندسين في عرض تقديمي داخلي من أن أحد القراصنة قد يستخدم الشبكة الخاصة الافتراضية للشركة من جهاز غير مصرح به ويقوم بتحميل أكواد خبيثة. وكتب القاضي أن براون لم يمرر هذه المعلومات إلى كبار المسؤولين التنفيذيين، وأن القراصنة استخدموا فيما بعد نفس التقنية.