Federální soudce ve čtvrtek zamítl část průlomové žaloby vlády proti SolarWinds a jejich hlavnímu manažerovi pro kybernetickou bezpečnost, která se týkala způsobu, jakým softwarová společnost nakládala s bezpečnostním porušením odhaleným v roce 2020, jež postihlo zákazníky, včetně amerických vládních agentur.
Americká Komise pro cenné papíry a burzy (SEC) v loňském roce zažalovala společnost SolarWinds se sídlem v Austinu v Texasu a jejího vedoucího pracovníka pro bezpečnost informací, Tima Browna. Případ se týká způsobu, jakým společnost prezentovala riziko kybernetického útoku před narušením bezpečnosti, a informací, které byly poskytnuty investorům po incidentu. Bylo to poprvé, co regulační orgán obvinil veřejně obchodovanou společnost, která se stala obětí kybernetického útoku, z občanského podvodu – nejzávažnějšího obvinění, které má k dispozici.
Některé podnikové skupiny a bývalí státní zástupci kritizovali vynucovací opatření SEC proti napadeným společnostem, protože by mohla činit odpovědné oběti útoků, které jsou někdy prováděny státem podporovanými aktéry. SEC tvrdí, že akcionáři mají právo vědět, jak veřejné společnosti reagují na riziko útoků, které často zatěžují ceny jejich akcií.
The following heading translates to Czech as:
"Tvrdzení SEC, že SolarWinds neodhalil akcionářům plný rozsah útoku, je založeno na 'zpětném pohledu a spekulacích', napsal americký okresní soudce Paul Engelmayer. Soudce však nechal pokračovat žalobu úřadu kvůli dalším výrokům SolarWinds před útokem o jeho opatřeních kybernetické bezpečnosti a rizicích.
USA obvinily za útok později státem podporované ruské hackery. Moskva popřela jakoukoli účast.
Mluvčí společnosti SolarWinds uvedl, že podnik je spokojen s rozhodnutím soudce. „Těšíme se na další fázi, kdy budeme mít poprvé možnost předložit vlastní důkazy a ukázat, proč je zbývající tvrzení fakticky nesprávné,“ řekl.
SEC odmítla komentář.
Der Fall SolarWinds war insofern ungewöhnlich, als er sich gegen einen hochrangigen Cybersicherheitsmanager richtete.
Případ SolarWinds byl neobvyklý tím, že se zaměřoval na vysoce postaveného manažera kybernetické bezpečnosti.
Kyberbezpečnostní experti, obchodní sdružení a vedoucí představitelé vyjádřili obavy, že žaloba proti Brownovi ukazuje, že regulátoři jsou nyní připraveni stíhat šéfy kyberbezpečnosti. Žaloba SEC byla podána krátce po odsouzení Josepha Sullivana, bývalého šéfa bezpečnosti společnosti Uber Technologies, za kriminální obstrukci v souvislosti s jeho činy během narušení dat společnosti v roce 2016, což vyvolalo podobné obavy.
David Shargel, partner v advokátní kanceláři Bracewell, uvedl, že zamítnutí části žalob SEC je pro SolarWinds „vítězstvím ve všech ohledech“. Společnosti jen zřídka vyhrávají tak brzy v procesu proti žalobám SEC.
„Es bleibt definitiv eine ernsthafte Anklage, und es dient als Erinnerung daran, dass Unternehmen sicherstellen müssen, dass ihre öffentlichen Aussagen korrekt und nicht irreführend sind“, sagte er.
„Stále jde o vážné obvinění a slouží jako připomínka toho, že společnosti musí zajistit, aby jejich veřejná prohlášení byla správná a nemateřná,“ řekl.
Od žaloby na SolarWinds vstoupila v platnost nová pravidla SEC týkající se toho, kdy a jak musí společnosti zveřejňovat kybernetické útoky. Veřejně obchodovatelné společnosti musí nahlásit kybernetické útoky orgánu prostřednictvím podání formuláře 8-K nejpozději do čtyř pracovních dnů po zjištění, že útok bude mít podstatný dopad na jejich podnikání. Společnosti musí také uvést prvky svého procesu řízení kybernetických rizik ve svých výročních zprávách.
Pozoruhodné je, že Engelmayer rovněž odmítl tvrzení SEC, že společnost SolarWinds porušila pravidla, která předepisují, jak se mají společnosti chránit proti účetním chybám. Soudce uvedl, že kyberbezpečnostní kontroly nejsou součástí tohoto procesu. „Tento výklad není udržitelný,“ napsal soudce a uvedl, že kontroly se jasně týkají pouze finančního účetnictví.
„Myslím, že by to mohlo některým oddělením pro dodržování předpisů přinést určitý pocit jistoty ohledně parametrů Dílčích povinností," řekl Shargel.
SolarWinds obvinila úřad v dřívější reakci na žalobu ze snahy rozšířit svůj regulační dosah v oblasti kybernetiky.
