Siendikohus viskas neljapäeval osaliselt välja valitsuse murrangulise hagi SolarWinds ja selle küberjulgeolekujuhi vastu seoses tarkvarafirma tegevusega 2020. aastal avastatud turvarikkumise osas, mis mõjutas kliente, sealhulgas USA valitsusasutusi.
USA väärtpaberijärelevalve komisjon (SEC) esitas eelmisel aastal hagi Austinis, Texases asuva ettevõtte SolarWinds ja selle peainseneri turvaohutuse alal, Tim Browni, vastu. Hagi käsitles riski esitust küberrünnaku osas enne turvarikkumist ja teavet, mida pärast juhtumit investoritele jagati. See oli esimene kord, kui väärtpaberiregulaator esitas tsiviilpettuse süüdistuse – kõige tõsisema süüdistuse, mida agentuur saab esitada – avalik-õigusliku ettevõtte vastu, mis oli langenud küberrünnaku ohvriks.
Einige Unternehmensgruppen und ehemalige Staatsanwälte kritisierten die Durchsetzungsmaßnahmen der SEC gegen gehackte Unternehmen, da diese die Opfer der Angriffe verantwortlich machen würden, die manchmal von staatlich unterstützten Akteuren durchgeführt werden. Die SEC argumentiert, dass Aktionäre ein Recht darauf haben zu wissen, wie öffentliche Unternehmen auf das Risiko von Angriffen reagieren, die oft den Aktienkurs des Unternehmens belasten.
Mõned ettevõtte rühmad ja endised prokurörid kritiseerisid SECi jõustamismeetmeid häkitud ettevõtete vastu, kuna need teeksid rünnakute ohvritele, mida mõnikord viivad läbi riigi toetatud tegutsejad, vastutuse. SEC väidab, et aktsionäridel on õigus teada, kuidas avalikud ettevõtted reageerivad rünnakute riskile, mis sageli mõjutavad ettevõtte aktsiahinda.
Die Behauptung der SEC, dass SolarWinds den Aktionären nicht das volle Ausmaß des Angriffs offenbart habe, basiere auf „Rückschau und Spekulation“, schrieb der US-Bezirksrichter Paul Engelmayer. Der Richter ließ jedoch die Klage der Behörde aufgrund anderer Aussagen von SolarWinds vor dem Angriff über seine Cybersicherheitsmaßnahmen und Risiken weiterlaufen.
---
USA ringkonnakohtunik Paul Engelmayer kirjutas, et SEC väide, justkui ei oleks SolarWinds aktsionäre rünnaku täielikust ulatusest teavitanud, tugineb "tagasivaatel ja spekulatsioonil". Kohtunik lubas siiski ametiasutuse hagi edasi minna SolarWinds'i teiste väidete tõttu küberjulgeolekumeetmete ja riskide kohta enne rünnakut.
Die USA machten später russische staatlich unterstützte Hacker für den Angriff verantwortlich. Moskau hat jegliche Beteiligung bestritten.
-> Hiljem süüdistasid USA-d Venemaa riiklikult toetatud häkkereid rünnakus. Moskva eitas igasugust seotust.
SolarWindsi esindaja ütles, et ettevõte on kohtuniku otsusega rahul. "Ootame järgmist etappi, kus meil on esimest korda võimalus esitada oma tõendid ja näidata, miks järelejäänud väide faktiliselt ebatäpne on," ütles ta.
SEC keeldus kommentaaridest.
SolarWindsi juhtum oli ebatavaline, kuna see oli suunatud kõrgetasemelisele küberturbe juhile.
Küberjulgeoleku eksperdid, äriliidud ja juhid avaldasid muret, et hagi Browni vastu näitab, et regulaatorid on nüüd valmis küberjulgeoleku juhte jälitama. SEC-i hagi esitati vahetult pärast seda, kui Joseph Sullivan, Uber Technologies'i endine turvajuht, mõisteti süüdi kuritegudes, mis takistasid ettevõtte 2016. aasta andmerikkumisega seotud tegevusi, mis tekitas sarnaseid hirme.
David Shargel, partner advokaadibüroos Bracewell, ütles, et osa SEC-i hagide tagasilükkamine on SolarWindsile „igal moel võit“. Ettevõtted võidavad SEC-i hagide vastu harva nii varajases protsessis.
„See on kindlasti tõsine süüdistus ja see on meeldetuletuseks, et ettevõtted peavad tagama, et nende avalikud avaldused on täpsed ja mitte eksitavad,“ ütles ta.
Pärast hagi SolarWindsi vastu on SEC-i uued reeglid jõustunud, millal ja kuidas ettevõtted peavad küberrünnakuid avalikustama. Börsil noteeritud ettevõtted peavad küberrünnakud kõige hiljem nelja tööpäeva jooksul, pärast seda kui nad on kindlaks teinud, et rünnakul on olulised mõjud nende äritegevusele, teatama 8-K-vormi esitamise teel ametile. Ettevõtted peavad ka esitama oma küberturvalisuse riskijuhtimise protsessi üksikasjad oma aastaaruannetes.
Tähelepanuväärne on, et Engelmayer lükkas tagasi ka SECi väite, et SolarWinds rikkus reegleid, mis sätestavad, kuidas ettevõtted peavad kaitsma end raamatupidamisvigade eest. Kohtunik selgitas, et küberturvalisuse kontroll ei ole selle protsessi osa. "See tõlgendus ei ole õigustatud," kirjutas kohtunik ja ütles, et kontrollid kehtivad selgelt ainult raamatupidamise kohta.
„Ma arvan, et see võiks mõnele vastavusosakonnale anda teatavat kindlustunnet seoses avalikustamiskohustuste parameetritega,“ ütles Shargel.
SolarWinds süüdistas asutust varasemas hagi vastuses oma mõjuvõimu laiendamises kübervaldkonnas.
