23.12.2020 | Эксперты предупреждали SolarWinds об угрозах безопасности еще в 2017 году |
Бывший ИБ-консультант компании SolarWinds, занимающейся производством ПО для мониторинга и управления IT-ресурсами, предупреждал руководство об угрозах безопасности и даже предлагал план по их устранению, но так и не был услышан. В 23-страничной презентации PowerPoint, попавшей в руки журналистов Bloomberg News, ИБ-эксперт Иэн Торнтон-Трамп (Ian Thornton-Trump) еще три года назад рекомендовал руководству SolarWinds назначить старшего директора по безопасности. Консультант настаивал на том, что «выживание компании зависит от ответственного отношения к безопасности». В следующем месяце Торнтон-Трамп разорвал отношения с SolarWinds, так как понял, что руководство компании не заинтересовано в существенных изменениях. По словам ИБ-эксперта, а также одного из бывших программных инженеров SolarWinds, с которым удалось пообщаться Bloomberg News, учитывая все киберриски, масштабный взлом был неизбежен. Опасения по поводу безопасности SolarWinds разделяли и другие исследователи безопасности, обнаружившие, по их словам, явные пробелы в системе безопасности компании, платформа которой использовалась в масштабной кибершпионской операции . «Я считаю, что с точки зрения безопасности SolarWinds была невероятно легкой целью для взлома», - отметил Торнтон-Трамп. Отвечая на вопрос Bloomberg News о презентации 2017 года и других выявленных исследователями проблемах безопасности, представитель SolarWinds заявил следующее: «Главным приоритетом для нас является работа с клиентами, отраслевыми партнерами и государственными учреждениями, с целью определить, организовало ли эту атаку иностранное правительство, лучше понять ее полный масштаб и помочь удовлетворить любые возникающие потребности клиентов. Мы делаем эту работу максимально быстро и прозрачно. У нас будет достаточно времени, чтобы оглянуться назад, и мы планируем сделать это таким же прозрачным образом». Торнтон-Трамп являлся сотрудником британской компании LogicNow, занимающейся облачными технологиями и приобретенной SolarWinds в июне 2016 года. Специалист, имеющий двадцатилетний опыт работы в ИБ помог LogicNow с нуля сделать себе имя на рынке IT-технологий. В 2017 году он представил свою презентацию с рекомендациями как минимум трем исполнительным директорам SolarWinds, но его предупреждения были проигнорированы. «На техническом уровне производства отсутствовала безопасность, а в руководстве было минимум директоров по безопасности. В 2015 году мы знали, что хакеры ищут любые возможные пути в бизнес-сектор. Но SolarWinds не адаптировалась. Это трагедия. Можно было извлечь множество уроков, но SolarWinds не обращала внимания на происходящее», - заявил Торнтон-Трамп. |
Проверить безопасность сайта