Един федерален съдия отхвърли част от значимо дело на правителството срещу SolarWinds и неговия главен мениджър по киберсигурност във връзка с начина, по който софтуерната компания се е справила със сигурността след нарушение през 2020 г., което засегна клиенти, включително американски правителствени агенции.

Американската комисия по ценните книжа и фондовите борси (SEC) заведе дело през миналата година срещу компанията SolarWinds, базирана в Остин, Тексас, и нейния главен директор по информационна сигурност Тим Браун. Случаят се отнасяше до начина, по който беше представен рискът от кибератака преди нарушението на сигурността и информацията, която беше предоставена на инвеститорите след инцидента. Това беше първият път, когато регулаторният орган за ценни книжа заведе дело за гражданска измама – най-сериозното обвинение, с което разполага властта – срещу публична компания, станала жертва на кибератака.

Някои корпоративни групи и бивши прокурори критикуваха мерките за прилагане на SEC срещу хакнати компании, защото според тях тези мерки държат отговорни жертвите на атаките, които понякога се извършват от държавно подкрепяни актьори. SEC твърди, че акционерите имат право да знаят как публични компании реагират на риска от атаки, които често влияят върху цената на акциите на компанията.

Твърдението на SEC, че SolarWinds не е разкрил на акционерите пълния обхват на атаката, се основава на "ретроспекция и спекулации", написа американският районен съдия Пол Енгелмайер. Съдията обаче остави да продължи делото на агенцията въз основа на други изявления на SolarWinds преди атаката относно неговите мерки за киберсигурност и рискове.

САЩ по-късно обвиниха руски хакери, подкрепяни от държавата, за нападението. Москва отрече всякакво участие.

Говорител на SolarWinds каза, че компанията е удовлетворена от решението на съдията. „Очакваме следващия етап, в който за първи път ще имаме възможността да представим собствените си доказателства и да покажем защо останалото твърдение е фактически неточно“, каза той.

SEC отказа да коментира.

Случаят SolarWinds беше необичаен, тъй като беше насочен срещу висш ръководител по киберсигурност.

Експерти по киберсигурност, търговски асоциации и ръководители изразиха опасения, че делото срещу Браун показва, че регулаторите сега са готови да преследват ръководителите по киберсигурност. Делото на SEC беше внесено скоро след осъждането на Джоузеф Съливан, бивш главен служител по сигурността на Uber Technologies, за криминално престъпление, свързано с неговите действия по време на пробива на данни на компанията през 2016 г., което породи подобни опасения.

Дейвид Шаргел, партньор в адвокатската кантора Bracewell, каза, че отхвърлянето на част от исковете на SEC е „победа във всяко отношение“ за SolarWinds. Компаниите рядко печелят толкова рано в процеса срещу исковете на SEC.

„Това определено остава сериозно обвинение и служи като напомняне, че компаниите трябва да се уверят, че техните публични изявления са точни и не подвеждащи“, каза той.

След делото срещу SolarWinds влязоха в сила нови правила на SEC относно това кога и как компаниите трябва да разкриват кибератаки. Компаниите, регистрирани на борсата, трябва да докладват за кибератаките най-късно четири работни дни след като установят, че атаката ще има съществено влияние върху техния бизнес, чрез подаване на формуляр 8-K до Комисията. Компаниите също трябва да излагат елементи от своя процес за управление на кибер рискове в своите годишни доклади.

Забележително е, че Енгелмайер също отхвърли твърдението на SEC, че SolarWinds е нарушила правилата, които изискват от компаниите да се предпазват от счетоводни грешки. Съдията заяви, че мерките за киберсигурност не са част от този процес. „Това тълкувание не е устойчиво“, написа съдията и каза, че мерките се прилагат изключително за финансовото счетоводство.

„Мисля, че това може да даде известна сигурност на някои отдели по съответствие във връзка с параметрите на задълженията за разкриване“, каза Шаргел.

SolarWinds обвини агенцията в предишен отговор на иска, че иска да разшири регулаторния си обхват в областта на киберсигурността.