שופט פדרלי דחה ביום חמישי חלק מתביעה תקדימית של הממשלה נגד SolarWinds ומנהל הסייבר הראשי שלה בגין טיפול חברת התוכנה בהפרת אבטחה שנחשפה בשנת 2020 ונגעה ללקוחות, כולל סוכנויות ממשלתיות של ארה"ב.

רשות ניירות הערך האמריקאית (SEC) תבעה בשנה שעברה את חברת SolarWinds היושבת באוסטין, טקסס, ואת מנהל אבטחת המידע הראשי שלה, טים בראון. הנושא היה הצגת הסיכון להתקפת סייבר לפני הפרת האבטחה והמידע שנמסר למשקיעים לאחר האירוע. זו הייתה הפעם הראשונה שבה הרשות לניירות ערך פועלת משפטית בגין האשמות הונאה אזרחיות – האישום החמור ביותר העומד לרשות הרשות – כנגד חברה ציבורית שהייתה קורבן להתקפת סייבר.

כמה קבוצות עסקיות ותובעים לשעבר מתחו ביקורת על צעדי האכיפה של רשות ניירות ערך האמריקאית (SEC) נגד חברות שנפרצו, בטענה שצעדים אלו מטילים אשמה על קורבנות המתקפות, שלעיתים קרובות מתבצעות על ידי גורמים הנתמכים על ידי מדינות. הרשות טוענת כי לבעלי המניות יש זכות לדעת כיצד חברות ציבוריות מגיבות לסיכון של מתקפות, אשר לעיתים קרובות פוגעות במחיר המניה של החברה.

הטענה של ה-SEC ש-SolarWinds לא חשפה בפני בעלי המניות את מלוא היקף התקיפה מבוססת על "ראייה לאחור והשערות", כתב שופט המחוז הפדרלי האמריקאי פול אנגלמאייר. עם זאת, השופט אפשר לתביעה של הרשות להמשיך בשל הצהרות אחרות של SolarWinds לפני התקיפה בנוגע לאמצעי הסייבר והסיכונים שלה.

ארצות הברית האשימה מאוחר יותר האקרים רוסים הנתמכים על ידי המדינה במתקפה. מוסקבה הכחישה כל מעורבות.

דובר של SolarWinds אמר כי החברה מרוצה מהחלטת השופט. "אנחנו מצפים לשלב הבא, שבו תהיה לנו לראשונה האפשרות להציג את הראיות שלנו ולהראות מדוע הטענה שנותרה אינה מדויקת עובדתית," הוא אמר.

הרשות לניירות ערך סירבה להגיב.

התקפת SolarWinds הייתה יוצאת דופן מכיוון שהיא כוונה למנהל בכיר בתחום אבטחת הסייבר.

מומחי אבטחת סייבר, אגודות מסחריות ומנהיגים הביעו חששות כי התביעה נגד בראון מראה שרשויות הרגולציה כעת מוכנות לרדוף אחרי ראשי אבטחת סייבר. התביעה של ה-SEC הוגשה זמן קצר לאחר הרשעתו של ג'וסף סאליבן, קצין האבטחה הראשי לשעבר של אובר טכנולוגיות, בגין הפרעה פלילית בקשר לפעולותיו במהלך פרצת הנתונים של החברה בשנת 2016, מה שעורר חששות דומים.

דוד שרגל, שותף במשרד עורכי הדין Bracewell, אמר כי דחיית חלק מהתביעות של ה-SEC היא "ניצחון בכל מובן" עבור SolarWinds. חברות לעיתים רחוקות מנצחות כל כך מוקדם בתהליך מול תביעות של ה-SEC.

„זו בהחלט נותרת האשמה רצינית, והיא משמשת כתזכורת לכך שחברות חייבות לוודא שהצהרותיהן הציבוריות מדויקות ואינן מטעות", אמר.

מאז התביעה נגד SolarWinds נכנסו לתוקף כללים חדשים של ה-SEC מתי וכיצד חברות חייבות לחשוף התקפות סייבר. חברות הנסחרות בבורסה חייבות לדווח על התקפות סייבר בתוך ארבעה ימי עסקים לכל המאוחר, לאחר שקבעו כי להן תהיה השפעה מהותית על עסקיהן, על ידי הגשת טופס 8-K לרשות. חברות חייבות גם לפרט רכיבים של תהליך ניהול סיכוני הסייבר שלהן בדוחות השנתיים שלהן.

ראוי לציון הוא שענגלמאייר גם דחה את טענת ה-SEC כי סולארווינדס הפרה את כללי ההגנה מפני טעויות חשבונאיות

„אני חושב שזה יכול לתת קצת ביטחון למחלקות התאימות בכל הנוגע לפרמטרים של חובות גילוי“, אמר שארגל.

סולארווידנס האשימה את הרשות בתגובה מוקדמת לתביעה בניסיון להרחיב את תחום ההשפעה הרגולטורית שלה בתחום הסייבר.