Ein Bundesrichter hat am Donnerstag einen Teil einer wegweisenden Klage der Regierung gegen SolarWinds und dessen obersten Cybersicherheitsmanager wegen des Umgangs des Softwareunternehmens mit einer 2020 offenbarten Sicherheitsverletzung abgewiesen, die Kunden, einschließlich US-Regierungsbehörden, betraf.
Un juez federal desestimó el jueves una parte de una demanda histórica del gobierno contra SolarWinds y su principal gerente de ciberseguridad por el manejo de una violación de seguridad revelada en 2020 que afectó a clientes, incluidas agencias del gobierno de EE. UU.
La Comisión de Bolsa y Valores de EE.UU. (SEC) demandó el año pasado a la empresa SolarWinds, con sede en Austin, Texas, y a su Director de Seguridad de la Información, Tim Brown. La disputa se centraba en la representación del riesgo de un ciberataque antes de la violación de seguridad y la información proporcionada a los inversores después del incidente. Fue la primera vez que la autoridad reguladora de valores presentó una demanda civil por fraude, la acusación más grave a su disposición, contra una empresa pública que fue víctima de un ciberataque.
Einige Unternehmensgruppen und ehemalige Staatsanwälte kritisierten die Durchsetzungsmaßnahmen der SEC gegen gehackte Unternehmen, da diese die Opfer der Angriffe verantwortlich machen würden, die manchmal von staatlich unterstützten Akteuren durchgeführt werden. Die SEC argumentiert, dass Aktionäre ein Recht darauf haben zu wissen, wie öffentliche Unternehmen auf das Risiko von Angriffen reagieren, die oft den Aktienkurs des Unternehmens belasten.
Algunas asociaciones empresariales y antiguos fiscales criticaron las medidas de ejecución de la SEC contra las empresas hackeadas, ya que responsabilizarían a las víctimas de los ataques, que a veces son llevados a cabo por actores respaldados por el estado. La SEC argumenta que los accionistas tienen derecho a saber cómo responden las empresas públicas al riesgo de ataques, que con frecuencia afectan el precio de las acciones de la empresa.
Here is the translation of the heading to Spanish:
La afirmación de la SEC de que SolarWinds no reveló a los accionistas el alcance completo del ataque se basaba en "retrospección y especulación", escribió el juez de distrito de EE. UU. Paul Engelmayer. No obstante, el juez permitió que continuara la demanda de la agencia debido a otras declaraciones de SolarWinds anteriores al ataque sobre sus medidas de ciberseguridad y riesgos.
Los EE. UU. responsabilizaron más tarde a hackers rusos patrocinados por el estado por el ataque. Moscú ha negado cualquier implicación.
Un portavoz de SolarWinds dijo que la empresa estaba satisfecha con la decisión del juez. "Esperamos con ansias la siguiente fase, en la que tendremos por primera vez la oportunidad de presentar nuestras propias pruebas y demostrar por qué la afirmación restante es fácticamente incorrecta", dijo.
Die SEC lehnte eine Stellungnahme ab.
La SEC rechazó hacer una declaración.
El caso SolarWinds fue inusual en la medida en que se dirigió contra un alto directivo de ciberseguridad.
Expertos en ciberseguridad, asociaciones comerciales y ejecutivos expresaron su preocupación de que la demanda contra Brown demuestre que los reguladores ahora están dispuestos a perseguir a los jefes de ciberseguridad. La demanda de la SEC se presentó poco después de la condena de Joseph Sullivan, un exjefe de seguridad de Uber Technologies, por obstrucción criminal en relación con sus acciones durante la violación de datos de la empresa en 2016, lo que generó temores similares.
David Shargel, socio del bufete de abogados Bracewell, dijo que la desestimación de algunas de las demandas de la SEC fue una "victoria en todos los aspectos" para SolarWinds. Las empresas rara vez ganan tan temprano en el proceso contra las demandas de la SEC.
„Es bleibt definitiv eine ernsthafte Anklage, und es dient als Erinnerung daran, dass Unternehmen sicherstellen müssen, dass ihre öffentlichen Aussagen korrekt und nicht irreführend sind“, sagte er.
Translation:
„Definitivamente sigue siendo una acusación seria, y sirve como recordatorio de que las empresas deben asegurarse de que sus declaraciones públicas sean correctas y no engañosas”, dijo él.
Desde la demanda contra SolarWinds, han entrado en vigor nuevas reglas de la SEC sobre cuándo y cómo las empresas deben divulgar ciberataques. Las empresas que cotizan en bolsa deben informar sobre ciberataques mediante la presentación de un formulario 8-K a la agencia, a más tardar cuatro días hábiles después de haber determinado que el ataque tendrá un impacto significativo en su negocio. Las empresas también deben detallar elementos de su proceso de gestión de riesgos cibernéticos en sus informes anuales.
Sorprendentemente, Engelmayer también rechazó la afirmación de la SEC de que SolarWinds había violado las reglas que prescriben cómo las empresas deben protegerse contra errores contables. El juez explicó que los controles de ciberseguridad no son parte de este proceso. "Esta interpretación no es sostenible", escribió el juez, añadiendo que los controles claramente se aplican solo a la contabilidad financiera.
„Creo que esto podría brindar algo de seguridad a algunos departamentos de cumplimiento en cuanto a los parámetros de las obligaciones de divulgación“, dijo Shargel.
SolarWinds había acusado anteriormente a la agencia en una respuesta a la demanda de querer expandir su ámbito regulador en el ámbito cibernético.
