Ένας ομοσπονδιακός δικαστής απέρριψε την Πέμπτη μέρος μιας ιστορικής αγωγής της κυβέρνησης κατά της SolarWinds και του κορυφαίου διευθυντή κυβερνοασφάλειας της εταιρείας σχετικά με τη διαχείριση της παραβίασης ασφαλείας του 2020 που επηρέασε τους πελάτες, συμπεριλαμβανομένων των αμερικανικών κυβερνητικών υπηρεσιών.
Η Επιτροπή Κεφαλαιαγοράς των ΗΠΑ (SEC) μήνυσε πέρυσι την εταιρεία SolarWinds, που εδρεύει στο Ώστιν του Τέξας, και τον Αρχηγό της Ασφάλειας Πληροφοριών, Tim Brown. Η υπόθεση αφορούσε την παρουσίαση του κινδύνου μιας κυβερνοεπίθεσης πριν από την παραβίαση της ασφάλειας και τις πληροφορίες που δόθηκαν στους επενδυτές μετά το περιστατικό. Ήταν η πρώτη φορά που η ρυθμιστική αρχή των τίτλων προχώρησε σε αγωγή εναντίον δημοσίας εταιρείας που υπήρξε θύμα κυβερνοεπίθεσης με κατηγορίες πολιτικής απάτης – η πιο σοβαρή κατηγορία που διαθέτει η αρχή.
Ορισμένες εταιρικές ομάδες και πρώην εισαγγελείς επέκριναν τα μέτρα επιβολής της SEC κατά των παραβιασμένων εταιρειών, καθώς αυτά θα καθιστούσαν υπεύθυνα τα θύματα των επιθέσεων που μερικές φορές διενεργούνται από κρατικά υποστηριζόμενους δράστες. Η SEC υποστηρίζει ότι οι μέτοχοι έχουν δικαίωμα να γνωρίζουν πώς αντιδρούν οι δημόσιες εταιρείες στον κίνδυνο επιθέσεων, ο οποίος συχνά επηρεάζει την τιμή της μετοχής της εταιρείας.
Ο ισχυρισμός της SEC ότι η SolarWinds δεν αποκάλυψε στους μετόχους το πλήρες μέγεθος της επίθεσης βασίστηκε στην «αναδρομή και εικασίες», έγραψε ο περιφερειακός δικαστής των ΗΠΑ Paul Engelmayer. Ωστόσο, ο δικαστής επέτρεψε τη συνέχιση της αγωγής της αρχής λόγω άλλων δηλώσεων της SolarWinds πριν από την επίθεση σχετικά με τα μέτρα και τους κινδύνους της κυβερνοασφάλειάς της.
Οι Ηνωμένες Πολιτείες αργότερα κατηγόρησαν Ρώσους κρατικά υποστηριζόμενους χάκερ για την επίθεση. Η Μόσχα αρνήθηκε κάθε εμπλοκή.
Ένας εκπρόσωπος της SolarWinds δήλωσε ότι η εταιρεία είναι ικανοποιημένη με την απόφαση του δικαστή. «Ανυπομονούμε για την επόμενη φάση, όπου για πρώτη φορά θα έχουμε τη δυνατότητα να παρουσιάσουμε τα δικά μας αποδεικτικά στοιχεία και να δείξουμε γιατί ο εναπομένων ισχυρισμός είναι ουσιαστικά ανακριβής», είπε.
Η SEC αρνήθηκε να σχολιάσει.
Η υπόθεση SolarWinds ήταν ασυνήθιστη καθώς στόχευε έναν ανώτερο διευθυντή κυβερνοασφάλειας.
Ειδικοί στην Κυβερνοασφάλεια, Εμπορικές Ενώσεις και Στελέχη εξέφρασαν ανησυχίες ότι η αγωγή κατά του Brown δείχνει ότι οι ρυθμιστικές αρχές είναι πλέον έτοιμες να διώξουν τους υπεύθυνους για την κυβερνοασφάλεια. Η αγωγή της SEC κατατέθηκε λίγο μετά την καταδίκη του Joseph Sullivan, πρώην Επικεφαλής Ασφαλείας της Uber Technologies, για εγκληματική παρακώλυση σε σχέση με τις ενέργειές του κατά τη διάρκεια της παραβίασης δεδομένων της εταιρείας το 2016, προκαλώντας παρόμοιους φόβους.
Ο Ντέιβιντ Σάρτζελ, Συνεργάτης στη δικηγορική εταιρεία Bracewell, δήλωσε ότι η απόρριψη μέρους των αγωγών της SEC ήταν «από κάθε άποψη μια νίκη» για τη SolarWinds. Οι εταιρείες κερδίζουν σπάνια τόσο νωρίς στη διαδικασία κατά των αγωγών της SEC.
«Παραμένει οπωσδήποτε μια σοβαρή κατηγορία, και αυτό χρησιμεύει ως υπενθύμιση ότι οι εταιρείες πρέπει να διασφαλίζουν ότι οι δημόσιες δηλώσεις τους είναι ακριβείς και μη παραπλανητικές», είπε.
Από τότε που κατατέθηκε η μήνυση κατά της SolarWinds, τέθηκαν σε ισχύ νέοι κανόνες από την SEC σχετικά με το πότε και πώς πρέπει οι επιχειρήσεις να αποκαλύπτουν κυβερνοεπιθέσεις. Εταιρείες εισηγμένες στο χρηματιστήριο πρέπει να αναφέρουν τις κυβερνοεπιθέσεις το αργότερο τέσσερις εργάσιμες ημέρες μετά την διαπίστωση ότι η επίθεση θα έχει ουσιαστικές επιπτώσεις στην επιχείρησή τους, υποβάλλοντας την αναφορά με ένα έντυπο 8-K στην Αρχή. Οι επιχειρήσεις πρέπει επίσης να περιγράψουν στοιχεία της διαδικασίας διαχείρισης κυβερνοκινδύνων στις ετήσιες αναφορές τους.
Εντυπωσιακό είναι ότι ο Engelmayer απέκρουσε τον ισχυρισμό της SEC ότι η SolarWinds είχε παραβιάσει κανόνες σχετικά με την προστασία των εταιρειών από λογιστικά σφάλματα. Ο δικαστής δήλωσε ότι οι έλεγχοι κυβερνοασφάλειας δεν αποτελούν μέρος αυτής της διαδικασίας. «Αυτή η ερμηνεία δεν είναι βιώσιμη», έγραψε ο δικαστής, επισημαίνοντας ότι οι έλεγχοι αφορούν ξεκάθαρα μόνο τη χρηματοοικονομική λογιστική.
„Νομίζω ότι αυτό μπορεί να δώσει λίγη ασφάλεια σε ορισμένα τμήματα συμμόρφωσης όσον αφορά τις παραμέτρους των υποχρεώσεων γνωστοποίησης“, είπε ο Shargel.
Η SolarWinds είχε κατηγορήσει την αρχή σε προηγούμενη απάντηση στην αγωγή ότι επιθυμεί να επεκτείνει το ρυθμιστικό της πεδίο στον τομέα του κυβερνοχώρου.
