قام قاضٍ فيدرالي يوم الخميس برفض جزء من دعوى قضائية رائدة أقامتها الحكومة ضد شركة SolarWinds ومديرها الأعلى للأمن السيبراني بسبب تعامل شركة البرمجيات مع خرق أمني تم الكشف عنه في عام 2020 والذي أثر على العملاء بما في ذلك الوكالات الحكومية الأمريكية.

رفعت هيئة الأوراق المالية والبورصات الأمريكية العام الماضي دعوى قضائية ضد شركة SolarWinds، ومقرها في أوستن، تكساس، ومدير أمن المعلومات الرئيسي فيها، تيم براون. كانت القضية تتعلق بتصوير مخاطر هجوم إلكتروني قبل حدوث الاختراق الأمني والمعلومات التي تم تقديمها للمستثمرين بعد الحادثة. كانت هذه المرة الأولى التي تقاضي فيها هيئة تنظيم الأوراق المالية شركة علنية، ضحية لهجوم إلكتروني، بتهم الاحتيال المدني – وهي أخطر الاتهامات المتاحة للهيئة.

بعض المجموعات التجارية والمدعين العامين السابقين انتقدوا إجراءات التنفيذ التي تتخذها لجنة الأوراق المالية والبورصات الأمريكية ضد الشركات المخترقة، معتبرين أن هذه الإجراءات تحمل الضحايا مسؤولية الهجمات التي يقوم بها أحياناً فاعلون مدعومون من الدولة. وتجادل لجنة الأوراق المالية والبورصات بأن المساهمين لديهم الحق في معرفة كيفية استجابة الشركات العامة لمخاطر الهجمات التي غالباً ما تؤثر على سعر أسهم الشركة.

الادعاء من لجنة الأوراق المالية والبورصات (SEC) بأن شركة SolarWinds لم تكشف للمساهمين عن الحجم الكامل للهجوم يعتمد على "النظر إلى الوراء والتكهن"، كتب القاضي الفيدرالي الأمريكي بول إنغلمير. ولكن القاضي سمح باستمرار قضية الهيئة بناءً على تصريحات أخرى من SolarWinds قبل الهجوم حول تدابيرها الأمنية السيبرانية والمخاطر.

الولايات المتحدة حملت لاحقاً قراصنة مدعومين من الدولة الروسية مسؤولية الهجوم. وقد نفت موسكو تورطها بأي شكل من الأشكال.

صرّح متحدث باسم شركة SolarWinds بأن الشركة راضية عن قرار القاضي. وقال: "نحن نتطلع إلى المرحلة المقبلة، حيث سنحظى بالفرصة لأول مرة لتقديم أدلتنا الخاصة وإثبات لماذا الادعاء المتبقي غير دقيق من الناحية الواقعية.

رفضت هيئة الأوراق المالية والبورصات التعليق.

كانت قضية SolarWinds غير عادية لأنها استهدفت مديرًا رفيع المستوى في الأمن السيبراني.

أعرب خبراء الأمن السيبراني والجمعيات التجارية والقادة التنفيذيون عن قلقهم من أن الدعوى المرفوعة ضد براون تُظهر أن الجهات التنظيمية أصبحت مستعدة الآن لملاحقة رؤساء الأمن السيبراني. تم رفع دعوى هيئة الأوراق المالية والبورصات الأمريكية (SEC) بعد فترة وجيزة من إدانة جوزيف سوليفان، رئيس الأمن السابق في شركة أوبر تكنولوجيز، بتهمة عرقلة الجنائية فيما يتعلق بإجراءاته خلال اختراق بيانات الشركة في عام 2016، مما أثار مخاوف مماثلة.

ديفيد شارجل، شريك في مكتب المحاماة بريسويل، قال إن رفض بعض الدعاوى التي رفعتها هيئة الأوراق المالية والبورصات هو "نصر بكل المقاييس" لشركة سولار ويندز. نادراً ما تكسب الشركات في وقت مبكر جداً من عملية التقاضي ضد دعاوى هيئة الأوراق المالية والبورصات.

„تبقى هذه بالتأكيد تهمة جدية، وتعتبر تذكيراً بأن على الشركات التأكد من أن تصريحاتها العامة صحيحة وغير مضللة“، قال.

منذ الدعوى ضد شركة SolarWinds، دخلت قواعد جديدة لهيئة الأوراق المالية والبورصات الأمريكية حيز التنفيذ تحدد متى وكيف يجب على الشركات الكشف عن الهجمات الإلكترونية. يجب على الشركات المدرجة في البورصة الإبلاغ عن أي هجمات إلكترونية خلال أربعة أيام عمل على الأكثر من اكتشافها أن الهجوم سيكون له تأثير كبير على أعمالها، وذلك من خلال تقديم نموذج 8-K إلى الهيئة. ويجب على الشركات أيضاً توضيح عناصر من عملية إدارة المخاطر الإلكترونية الخاصة بها في تقاريرها السنوية.

من الجدير بالذكر أن إنغيلماير رفض أيضًا ادعاء هيئة الأوراق المالية والبورصات بأن شركة SolarWinds انتهكت القواعد التي تفرض كيفية حماية الشركات من الأخطاء المحاسبية. أوضح القاضي أن ضوابط الأمن السيبراني ليست جزءًا من هذه العملية. كتب القاضي أن "هذا التفسير غير قابل للدفاع" وقال إن الضوابط تنطبق بوضوح فقط على المحاسبة المالية.

„أعتقد أن هذا قد يمنح بعض الطمأنينة لأقسام الامتثال بشأن معايير واجبات الإفصاح"، قال شارجيل.

أشار SolarWinds في رد سابق على الدعوى أن الهيئة تحاول توسيع نطاق نفوذها التنظيمي في مجال الأمن السيبراني.