La decisione della Securities and Exchange Commission statunitense di ritirare la causa contro SolarWinds e il suo responsabile della sicurezza informatica ha scatenato un'ondata di sollievo nel settore della cybersecurity che va ben oltre il singolo caso giudiziario. Dopo cinque anni di indagini, battaglie legali e un'attenzione mediatica senza precedenti, il verdetto rappresenta potenzialmente una svolta nel modo in cui regolatori, consigli di amministrazione e vertici aziendali interpretano la responsabilità in materia di sicurezza informatica. Tuttavia, gli esperti avvertono che questa vittoria non cancella i rischi personali e professionali che gravano quotidianamente sui CISO, né risolve le profonde contraddizioni strutturali che il caso ha portato alla luce.
Il paradosso della responsabilità senza potere decisionale
Al centro della controversia giudiziaria si nasconde un problema sistemico che affligge l'intera categoria dei responsabili della sicurezza informatica: vengono chiamati a rispondere pubblicamente dei fallimenti della cybersecurity, eppure raramente dispongono di autorità effettiva su budget, comunicazioni aziendali e decisioni strategiche sul rischio d'impresa. "Abbiamo molta responsabilità e pochissima autorità", spiega Gadi Evron, CEO di Knostic e CISO in Residence per l'intelligenza artificiale presso la Cloud Security Alliance. "L'organizzazione gestisce il rischio. Il nostro lavoro è presentare il rischio e gestirlo una volta che l'organizzazione decide quale rischio assumere".
Diana Kelley, CISO di Noma Security, sottolinea questa disparità con ancora maggiore chiarezza: "Operiamo in un ecosistema più ampio. Non siamo onnipotenti. Non possiamo prendere tutte le decisioni in un'azienda. Dobbiamo lavorare entro i limiti del budget. Possiamo sostenere richieste di budget, ma poi il budget viene deciso in modo collaborativo dall'azienda".
Dalla violazione russa all'archiviazione della causa
Per comprendere appieno perché il caso SolarWinds abbia gettato nel panico l'intera comunità dei CISO, occorre ripercorrere la genesi della violazione. Tra il 2019 e il novembre 2020, un gruppo di hacker ampiamente identificato come APT29 o Cozy Bear, riconducibile al servizio di intelligence estero russo SVR, compromesse la piattaforma di gestione IT Orion distribuita da SolarWinds inserendo codice malevolo in un aggiornamento software apparentemente legittimo. Il malware SUNBURST installò una backdoor che colpì circa 18.000 clienti, anche se solo un sottoinsieme selezionato fu effettivamente sfruttato, includendo diverse agenzie governative statunitensi e importanti aziende.
Il 30 ottobre 2023, in un clima di crescente allarme per le violazioni informatiche ad alto profilo negli Stati Uniti, la SEC presentò un'azione civile contro SolarWinds e, sorprendentemente, contro il suo CISO Tim Brown personalmente. L'accusa era di frode e carenze nei controlli interni relativi a rischi e vulnerabilità informatiche presumibilmente note. Il 18 luglio 2024, il giudice federale Paul Engelmayer archiviò la maggior parte delle accuse, concentrandosi poi solo su alcune dichiarazioni specifiche pubblicate sul sito web aziendale prima dell'incidente.
Il precedente di Joe Sullivan e le lezioni apprese
Il calvario giudiziario di Tim Brown si inserisce in un contesto più ampio segnato anche dalla condanna federale del 2022 di Joe Sullivan, ex CISO di Uber. Sullivan, che oggi è CEO di Joe Sullivan Security ed è anche ex procuratore federale, ricorda un momento significativo della sua vicenda: "Durante l'udienza per la mia sentenza, il giudice si è rivolto ripetutamente al pubblico ministero chiedendo: 'Perché non è stato accusato il CEO?'. Il giudice ha letteralmente affermato: 'Per quanto mi riguarda, il CEO è almeno altrettanto colpevole, se non di più, di chiunque altro all'interno dell'azienda quando si tratta di questa situazione'".
Questa osservazione evidenzia un cambiamento graduale ma significativo: CEO e altri alti dirigenti cominciano a essere considerati corresponsabili nelle questioni di sicurezza informatica. Sullivan cita esempi recenti da diverse giurisdizioni: "In Australia, nel caso Qantas, il consiglio di amministrazione ha revocato i bonus al CEO e ad altri dirigenti. In uno dei casi civili del Dipartimento di Giustizia sulla frode informatica, il caso Aero Turbine, hanno perforato il velo societario e perseguito anche la società di private equity. C'è un riconoscimento crescente tra le autorità governative che, se vuoi cambiare il comportamento aziendale, devi mirare un po' più in alto del CISO".
Strategie di protezione per i responsabili della sicurezza
Gli esperti concordano che il sollievo per l'archiviazione del caso SolarWinds non deve trasformarsi in compiacenza. Cara Peterman, partner del Securities Litigation Group di Alston & Bird, avverte che i cambiamenti politici potrebbero riportare i CISO nel mirino dei regolatori. "Penso che lo staff della SEC negli ultimi cinque-dieci anni sia diventato più preparato e abbia una comprensione più approfondita di come funzionano questi meccanismi", afferma. "I CISO dovrebbero tirare un sospiro di sollievo con questo sviluppo, ma sarei cauta nel trarre conclusioni troppo ampie considerando i cambiamenti nell'attuale amministrazione o in quella successiva".
Peterman sottolinea inoltre il prezzo personale pagato da Brown: "Ha dovuto affrontare cinque anni di questo, prima investigazioni, poi contenzioso. Presumo che ciò comporti un significativo peso personale, psicologico e fisico". È emerso infatti che Brown ha subito un attacco cardiaco durante il contenzioso. "Se i CISO non dispongono dei necessari accordi di indennizzo o protezioni assicurative per dirigenti e funzionari tramite statuto o contratto, può significare che anche se vinci, comporta un costo finanziario significativo".
Comunicazione accurata e responsabilità condivisa
Diana Kelley enfatizza che i CISO rimarranno il volto della cybersecurity per la maggior parte delle organizzazioni, il che richiede diligenza continua nella comunicazione dei rischi. "Quando clienti, regolatori o investitori necessitano di risposte, nulla di tutto ciò è cambiato a seguito dell'archiviazione del caso SolarWinds. Uno degli insegnamenti è essere molto intenzionali e accurati nel modo in cui comunichiamo riguardo ai nostri programmi".
Joe Sullivan invita i CISO ad assumere un ruolo più proattivo all'interno delle loro organizzazioni: "È davvero importante che non restiamo in un angolo lasciando che tutti i rischi gravino sulle nostre spalle. Dobbiamo confrontarci con gli altri dirigenti e con il CEO e dire: 'Guardate, la cybersecurity è una decisione aziendale'".
Sullivan esprime inoltre gratitudine verso Tim Brown per il coraggio dimostrato durante l'intera vicenda: "Molti di noi sono davvero grati a Tim per non essere scomparso durante questo processo. Ha dedicato molto tempo a diversi eventi, tipicamente a porte chiuse, incontrando molte persone. Ho avuto l'opportunità di essere su panel e chiamate con lui dove abbiamo condiviso un palco. Tutti noi siamo molto felici che Tim sia uscito da questa situazione in un pezzo, che sia ancora in piedi e che abbia ancora il suo lavoro".
SolarWinds ha infatti mantenuto Brown nel ruolo di CISO e ha pagato per la sua rappresentanza legale. Il CEO Sudhakar Ramakrishna ha dichiarato: "Lo abbiamo detto fin dall'inizio — e dimostrato durante il contenzioso — le accuse erano infondate, e siamo felici che la SEC abbia finalmente deciso di abbandonarle. Siamo rimasti fermamente al fianco del nostro CISO, Tim Brown, e questa decisione conferma la nostra convinzione che il nostro team abbia agito con integrità in ogni momento".