ארה"ב: צ'ק פוינט נקנסה עקב "הטעיות בפריצה לסולארווינדס"

רשות ניירות ערך האמריקנית, ה-SEC, הגיעה להסדר עם ארבע חברות, בגין ההצהרות המטעות שלהן לגבי השפעתה על עסקיהן של הפריצה לסולארווינדס (SolarWinds) ב-2020. בין הנקנסות – צ'ק פוינט (Check Point).

לפי הרשות, ארבע החברות – יוניסיס (Unisys), אווייה (Avaya), מימקאסט (Mimecast) וצ'ק פוינט –

מזערו את חומרת הפריצה, או תיארו את הנזק למערכות פנימיות ולנתונים כ"תיאורטי", וזאת – "למרות שהן ידעו שנגנבו כמויות משמעותיות של מידע".

"כפי שפעולות האכיפה של היום משקפות, בעוד שחברות ציבוריות עלולות להפוך למטרות למתקפות סייבר, חובה עליהן לא להמשיך ולפגוע בבעלי המניות שלהן, או בציבור המשקיעים, על ידי גילויים מטעים על אירועי אבטחת הסייבר שבהם נתקלו", אמר סנג'אי וודוואה, המנהל בפועל של חטיבת האכיפה של ה-SEC. לדבריו, "מצאנו כאן, כי חברות אלו סיפקו גילויים מטעים על האירועים המדוברים, והותירו את המשקיעים באפלה לגבי ההיקף האמיתי של התקריות".

Today we charged four current and former public companies – Unisys Corp., Avaya Holdings Corp., Check Point Software Technologies Ltd, and Mimecast Limited – with making materially misleading disclosures regarding cybersecurity risks and intrusions. https://t.co/hMWbLzO21I pic.twitter.com/vOVRGhVRC5

— U.S. Securities and Exchange Commission (@SECGov) October 22, 2024

קנסות בלי להודות במעשים פסולים

במסגרת ההסכם הסכימו החברות לשלם קנסות, וזאת, בלא להודות במעשים פסולים. יוסיניס תשלם קנס בסך 4 מיליון דולרים; אוויה – מיליון דולר; צ'ק פוינט תשלם 995 אלף דולר; ואילו מימקאסט 990 אלף דולר גם היא.

לפי ה-SEC, בדצמבר 2020 אוויה כבר ידעה שלפחות שרת ענן אחד שמחזיק נתוני לקוחות ושרת נוסף, הקשור לרשת המעבדות שלה – נפרצו על ידי האקרים, שעבדו בשליחות ממשלת רוסיה. מאוחר יותר באותו חודש, ספקית שירות צד שלישי התריעה בפני החברה, כי מערכות הדוא"ל ושיתוף הקבצים שלה בענן – נפרצו גם הן, ככל הנראה על ידי אותה קבוצה. 

חקירת המשך שנערכה ברשות זיהתה יותר מ-145 קבצים משותפים אליהם ניגש שחקן האיום בסייבר, יחד עם ראיות לכך שהקבוצה עקבה אחר הודעות הדוא"ל של צוות מגיבי אירועי אבטחת הסייבר של החברה. אלא שבדו"ח הרבעוני של פברואר 2021, אוויה תיארה את ההשפעה במונחים קטנים בהרבה.

לגבי יוניסיס, נכתב כי "בוצעה גישה לכמה מערכות – שבע רשתות ו-34 חשבונות מבוססי ענן, כולל כמה עם הרשאות ניהול – במשך 16 חודשים. שחקני האיום גם התחברו שוב ושוב לרשת שלהם והעבירו יותר מ-33 ג'יגה בייט של נתונים. יוניסיס תיארה באופן לא מדויק את קיומן של חדירות מוצלחות ואת הסיכון לגישה בלתי מורשית לנתונים ולמידע במונחים היפותטיים, למרות שידעה כי החדירות המתוארות לעיל אכן התרחשו ולמעשה כללו גישה בלתי מורשית וחילוץ של מידע סודי ו/או קנייני".

שימשה כדלת אחורית לפורצים. פלטפורמת אוריון של סולארווינדס. צילום מסך מאתר החברה

חקירות דומות של צ'ק פוינט בדצמבר 2020 מצאו שני שרתים נגועים וראיות לכך ששחקן האיום נע ברחבי הרשת הארגונית שלה ומתקין תוכנות זדוניות. עם זאת, במסמכים שהוגשו ל-SEC ב-2021 וב-2022, "צ'ק פוינט תיארה את רמת סיכוני אבטחת הסייבר הכללית שלה בשפה כמעט זהה מדיווחי העבר, למרות שידעה שהיא נפלה קורבן לקבוצת איומים מתמשכת מתקדמת רוסית בקמפיין האקרים עולמי רחב היקף".

ספקית הענן מימקאסט "גילתה ראיות לכך שההאקרים השתמשו באישור אימות גנוב, כדי לפרוץ לחמש פלטפורמות ענן של לקוחות, ולגשת למיילים פנימיים, וההאקרים גנבו קוד למסד נתונים מוצפן, המכיל פרטי התחברות ותצורת שרת עבור עשרות אלפי לקוחות. בעוד ש-מימקאסט חשפה בפומבי חלק מההשפעות הללו, הדיווח שלה ל-SEC השמיט פרטים קריטיים, כולל מידע לגבי המספר הגדול של הלקוחות שהושפעו ונתח הקוד שחולץ על ידי שחקן האיומים".

מצ'ק פוינט נמסר כי "החברה חקרה את התקרית של סולארווינדס ולא מצאה ראיות לגישה לנתוני לקוחות, לקוד, או למידע רגיש אחר. עם זאת, צ'ק פוינט החליטה כי שיתוף פעולה ויישוב הסכסוך עם ה-SEC הוא האינטרס שלה, ומאפשר לחברה לשמור על המיקוד שלה בסיוע ללקוחותיה להתגונן מפני מתקפות סייבר ברחבי העולם".

הפריצה הענקית לסולארווינדס מיוחסת לשירות מודיעין החוץ הרוסי, ה-SVR, כחלק ממסע ריגול ארוך טווח. ה-SVR השיג גישה לרשת של סולארווינדס והשחית עדכון תוכנה לגיטימי של תוכנת אוריון שלה – לניהול IT – שנשלח לאלפי ארגונים בעולם. לפחות תשע סוכנויות פדרליות נפרצו בקמפיין, יחד עם כמעט 100 ארגונים במגזר הפרטי.