En forbundsdommer afviste torsdag en del af en banebrydende sag fra regeringen mod SolarWinds og dets øverste cybersikkerhedsleder på grund af softwarevirksomhedens håndtering af et sikkerhedsbrud afsløret i 2020, der påvirkede kunder, herunder amerikanske regeringsmyndigheder.

De amerikanske børstilsynsmyndigheder SEC sagsøgte sidste år det Austin, Texas-baserede firma SolarWinds og dets Chief Information Security Officer, Tim Brown. Det handlede om fremstillingen af risikoen for et cyberangreb før sikkerhedsbruddet og de oplysninger, der blev givet til investorerne efter hændelsen. Det var første gang, at værdipapirreguleringsmyndigheden på grund af civilretslige svindelanklager – den alvorligste anklage, som myndigheden har til rådighed – gik til domstolene mod en offentlig virksomhed, der blev offer for et cyberangreb.

Nogle virksomhedsforsamlinger og tidligere anklagere kritiserede SEC's håndhævelsesforanstaltninger mod hackede virksomheder, da disse ville gøre ofrene for angrebene ansvarlige, som nogle gange udføres af statsstøttede aktører. SEC argumenterer, at aktionærer har ret til at vide, hvordan offentlige virksomheder reagerer på risikoen for angreb, der ofte belaster virksomhedens aktiekurs.

Påstanden fra SEC om, at SolarWinds ikke fuldt ud afslørede omfanget af angrebet for aktionærerne, er baseret på "bagklogskab og spekulation," skrev den amerikanske distriktsdommer Paul Engelmayer. Dommeren lod dog myndighedens sag fortsætte på grund af andre udtalelser fra SolarWinds om deres cybersikkerhedsforanstaltninger og -risici før angrebet.

USA gjorde senere russisk statssponsorerede hackere ansvarlige for angrebet. Moskva har nægtet enhver involvering.

En talsmand fra SolarWinds sagde, at virksomheden var tilfreds med dommerens beslutning. "Vi ser frem til den næste fase, hvor vi for første gang vil have mulighed for at fremlægge vores egne beviser og vise, hvorfor den tilbageværende påstand er faktuelt unøjagtig," sagde han.

SEC afslog at kommentere.

Der Fall SolarWinds war insofern ungewöhnlich, als er sich gegen einen hochrangigen Cybersicherheitsmanager richtete.
→ SolarWinds-sagen var usædvanlig, fordi den var rettet mod en højtstående cybersikkerhedschef.

Cybersikkerhedseksperter, handelsforeninger og ledere gav udtryk for bekymring over, at retssagen mod Brown viser, at myndighederne nu er villige til at retsforfølge cybersikkerhedschefer.

David Shargel, partner hos advokatfirmaet Bracewell, sagde, at afvisningen af en del af SEC’s søgsmål var et "sejr i enhver henseende" for SolarWinds. Virksomheder vinder sjældent så tidligt i processen mod SEC’s søgsmål.

„Det er bestemt en alvorlig anklage, og det tjener som en påmindelse om, at virksomheder skal sikre, at deres offentlige udsagn er korrekte og ikke vildledende“, sagde han.

Siden retssagen mod SolarWinds er nye SEC-regler trådt i kraft for hvornår og hvordan virksomheder skal offentliggøre cyberangreb. Offentligt børsnoterede virksomheder skal rapportere cyberangreb senest fire arbejdsdage efter, at de har konstateret, at angrebet vil have væsentlig indvirkning på deres forretning, ved indsendelse af en 8-K formular til myndigheden. Virksomheder skal også beskrive elementer af deres cyber-risikostyringsproces i deres årsrapporter.

The heading "Remarkably, Engelmayer also dismissed the SEC's allegation that SolarWinds violated rules requiring companies to safeguard against accounting errors. The judge stated that cybersecurity controls are not part of this process. 'This interpretation is untenable,' wrote the judge, saying the controls clearly apply only to financial accounting." can be translated to Danish as:

"Bemærkelsesværdigt er det, at Engelmayer også afviste SEC's påstand om, at SolarWinds overtrådte regler, der kræver, at virksomheder beskytter sig mod regnskabsfejl. Dommeren erklærede, at cybersikkerhedskontroller ikke er en del af denne proces. 'Denne fortolkning er uholdbar,' skrev dommeren og sagde, at kontrollen tydeligt kun gælder for finansbogføring.

„Ich denke, das könnte einigen Compliance-Abteilungen in Bezug auf die Parameter der Offenlegungspflichten etwas Sicherheit geben“, sagte Shargel.

SolarWinds havde tidligere beskyldt myndigheden i et svar på sagen for at ville udvide sin regulatoriske indflydelse inden for cybersikkerhed.