Yhdysvaltalainen tuomari hylkäsi torstaina osan hallituksen merkittävästä kanteesta SolarWindsia ja sen kyberturvallisuusjohtajaa vastaan heidän käsittelemästään ohjelmistoyrityksen vuonna 2020 paljastetusta tietoturvaloukkauksesta, joka koski asiakkaita, mukaan lukien Yhdysvaltain valtion virastot.

Yhdysvaltain arvopaperimarkkinoita valvova viranomainen SEC on haastanut Austinin (Teksas) SolarWinds -yrityksen ja sen tietoturvapäällikön Tim Brownin oikeuteen viime vuonna. Tapauksen yhteydessä käsiteltiin riskejä kyberhyökkäyksistä ennen turvallisuusrikkomusta sekä sijoittajille annetut tiedot tapahtuman jälkeen. Tämä oli ensimmäinen kerta, kun arvopaperien sääntelyviranomainen vei siviilioikeudellisiin petossyytöksiin - vakavimpiin syytöksiin, jotka ovat viranomaisen käytettävissä - perustuvan asian oikeuteen julkista yritystä vastaan, joka oli kyberhyökkäyksen uhri.

Jotkut yritysryhmät ja entiset syyttäjät kritisoivat SEC:n toimeenpanotoimia hakkeroituja yrityksiä vastaan, koska heidän mukaansa ne asettavat hyökkäysten uhrit vastuulle, vaikka hyökkäykset olisivat joskus valtion tukemia. SEC puolustaa toimiaan väittämällä, että osakkeenomistajilla on oikeus tietää, miten julkiset yhtiöt vastaavat hyökkäysriskeihin, jotka usein vaikuttavat yhtiön osakekurssiin.

SEC:n väite, että SolarWinds ei olisi paljastanut osakkeenomistajille hyökkäyksen koko laajuutta, perustuu "jälkikäteiseen arviointiin ja spekulaatioon", kirjoitti Yhdysvaltain piirituomari Paul Engelmayer. Tuomari kuitenkin salli viranomaisen kanteen jatkua SolarWindsin hyökkäystä edeltäneiden kyberturvallisuustoimenpiteitä ja riskejä koskevien lausuntojen perusteella.

Yhdysvallat pitivät myöhemmin hyökkäyksestä vastuussa Venäjän valtion tukemia hakkereita. Moskova on kiistänyt osallisuutensa.

SolarWindsin edustaja sanoi, että yritys on tyytyväinen tuomarin päätökseen. "Odotamme seuraavaa vaihetta, jossa meillä on ensimmäistä kertaa mahdollisuus esittää omat todisteemme ja osoittaa, miksi jäljellä oleva väite on tosiasiallisesti epätarkka", hän sanoi.

SEC kieltäytyi kommentoimasta.

Der Fall SolarWinds war insofern ungewöhnlich, als er sich gegen einen hochrangigen Cybersicherheitsmanager richtete.
-> SolarWinds-tapaus oli siinä mielessä epätavallinen, että se kohdistui korkeatasoiseen kyberturvallisuusjohtajaan.

Kyberturvallisuusasiantuntijat, kauppajärjestöt ja johtajat ilmaisivat huolensa siitä, että syyte Brownia vastaan osoittaisi, että sääntelyviranomaiset ovat nyt valmiita jahtaamaan kyberturvallisuusjohtajia. SEC:n kanne nostettiin pian sen jälkeen, kun Uber Technologiesin entinen turvallisuusjohtaja Joseph Sullivan tuomittiin rikollisesta estämisestä yrityksen vuoden 2016 tietomurron yhteydessä tehdyistä toimistaan, mikä herätti samankaltaisia pelkoja.

David Shargel, kumppani lakitoimistossa Bracewell, sanoi, että SEC:n syytteiden osittainen hylkääminen oli SolarWindsille "voitto kaikilta osin". Yritykset voittavat harvoin oikeudenkäyntiä SEC:ää vastaan näin varhaisessa vaiheessa.

The translated heading to Finnish is:

"Hän sanoi: "Se on ehdottomasti vakava syytös, ja se muistuttaa siitä, että yritysten on varmistettava, että niiden julkiset lausunnot ovat tarkkoja eivätkä harhaanjohtavia.

SolarWinds-oikeusjutun jälkeen SEC:n uudet säännöt astuivat voimaan koskien yritysten raportointia kyberhyökkäyksistä. Pörssiyhtiöiden on ilmoitettava kyberhyökkäyksistä viranomaisille 8-K-lomakkeella viimeistään neljän työpäivän kuluessa siitä, kun ne ovat havainneet hyökkäyksen vaikuttavan olennaisesti liiketoimintaansa. Yritysten on myös esitettävä kyberriskien hallintaprosessinsa osatekijät vuosikertomuksissaan.

Merkittävää on, että Engelmayer myös hylkäsi SEC:n väitteen, jonka mukaan SolarWinds olisi rikkonut sääntöjä, jotka edellyttävät, että yritykset suojaavat itseään kirjanpidon virheiltä. Tuomari totesi, että kyberturvallisuuden valvonta ei ole osa tätä prosessia. "Tämä tulkinta ei ole kestettävissä", kirjoitti tuomari ja totesi, että valvonta koskee selvästi vain talouskirjanpitoa.

„Mielestäni tämä voisi antaa joillekin compliance-osastoille jonkin verran varmuutta, mitä tulee ilmoitusvelvollisuuksien parametreihin“, sanoi Shargel.

SolarWinds oli syyttänyt viranomaista aikaisemmassa vastauksessaan kanteeseen siitä, että tämä pyrki laajentamaan sääntelyvaltaansa kyberturvallisuuden alalla.