गुरुवार को एक संघीय न्यायाधीश ने सरकार द्वारा SolarWinds और इसके शीर्ष साइबर सुरक्षा प्रबंधक के खिलाफ 2020 में उजागर की गई सुरक्षा उल्लंघन से संबंधित एक महत्वपूर्ण मुकदमे के एक हिस्से को खारिज कर दिया, जिसमें ग्राहकों, सहित अमेरिकी सरकारी एजेंसियों, को प्रभावित किया गया था।

पिछले साल, यूएस सिक्योरिटी एक्सचेंज कमीशन (SEC) ने ऑस्टिन, टेक्सास स्थित कंपनी SolarWinds और उसके चीफ इन्फॉर्मेशन सिक्योरिटी ऑफिसर टिम ब्राउन पर मुकदमा दायर किया। मामला साइबर हमले के जोखिम की प्रस्तुति और घटना के बाद निवेशकों को दी गई जानकारी पर केंद्रित था। यह पहली बार था जब SEC ने एक सार्वजनिक कंपनी, जो साइबर हमले का शिकार हुई थी, के खिलाफ नागरिक धोखाधड़ी के आरोप – जो कि सबसे गंभीर आरोप है – में अदालत का रुख किया।

कुछ व्यापारिक समूहों और पूर्व सरकारी वकीलों ने एसईसी की hacked कंपनियों के प्रति प्रवर्तन उपायों की आलोचना की, क्योंकि यह हमलों के शिकार लोगों को जिम्मेदार ठहराते हैं, जो कभी-कभी राज्य-प्रायोजित तत्वों द्वारा किए जाते हैं। एसईसी तर्क देता है कि शेयरधारकों का यह अधिकार है कि उन्हें पता चले कि सार्वजनिक कंपनियाँ हमलों के जोखिम पर कैसे प्रतिक्रिया देती हैं, जो अक्सर कंपनी के स्टॉक मूल्य को प्रभावित करते हैं।

SEC का दावा कि SolarWinds ने शेयरधारकों को हमले की पूरी गंभीरता के बारे में सूचित नहीं किया था, "पुनरावलोकन और अटकलों" पर आधारित है, अमेरिकी जिला न्यायाधीश पॉल एंजेलमेयर ने लिखा। हालांकि, न्यायाधीश ने हमले से पहले SolarWinds द्वारा किए गए साइबरसुरक्षा उपायों और जोखिमों के बारे में अन्य बयानों के कारण एजेंसी के मुकदमे को जारी रहने दिया।

बाद में, अमेरिका ने हमले के लिए रूस समर्थित सरकारी हैकरों को जिम्मेदार ठहराया। मॉस्को ने किसी भी प्रकार की भागीदारी से इनकार किया।

SolarWinds के एक प्रवक्ता ने कहा कि कंपनी न्यायाधीश के निर्णय से संतुष्ट है। उन्होंने कहा, "हम अगले चरण की प्रतीक्षा कर रहे हैं, जहाँ हमें पहली बार अपने स्वयं के सबूत प्रस्तुत करने और यह दिखाने का अवसर मिलेगा कि शेष दावा तथ्यात्मक रूप से गलत है।

एसईसी ने टिप्पणी करने से इनकार कर दिया।

सोलरविंड्स मामला असामान्य था क्योंकि यह एक उच्चस्तरीय साइबर सुरक्षा प्रबंधक को लक्षित करता था।

साइबर सुरक्षा विशेषज्ञों, व्यापार संघों और नेतृत्वकर्ताओं ने चिंता व्यक्त की कि ब्राउन के खिलाफ मुकदमा यह示ाता है कि नियामक अब साइबर सुरक्षा प्रमुखों को निशाना बनाने के लिए तैयार हैं। जोसेफ सुलिवन, जो उबर टेक्नोलॉजीज के पूर्व मुख्य सुरक्षा अधिकारी थे, को कंपनी के 2016 के डेटा उल्लंघन के दौरान उनकी कार्यवाहियों के लिए आपराधिक बाधा के आरोप में दोषी ठहराया गया था, जिसके तुरंत बाद एसईसी द्वारा यह मुकदमा दर्ज किया गया, जिससे इसी तरह की चिंताएं और बढ़ गईं।

डेविड शार्गेल, ब्रेसवेल कानूनी फर्म में पार्टनर, ने कहा कि एसईसी के कुछ हिस्सों के मुकदमों को खारिज किया जाना सोलरविंड्स के लिए "हर लिहाज से एक जीत" है। कंपनियां शायद ही कभी एसईसी के मुकदमों के खिलाफ प्रक्रिया में इतनी जल्दी जीतती हैं।

„यह निश्चित रूप से एक गंभीर आरोप बना हुआ है, और यह इस बात की याद दिलाता है कि कंपनियों को यह सुनिश्चित करना चाहिए कि उनके सार्वजनिक बयानों में सत्यता हो और वे भ्रामक न हों“, उन्होंने कहा।

सोलरविंड्स के खिलाफ मुकदमे के बाद, साइबर हमलों का खुलासा करने के लिए नए SEC नियम लागू हुए।�

बाज़ार में सूचीबद्ध कंपनियों को साइबर हमलों का खुलासा हमले के महत्वपूर्ण व्यावसायिक प्रभाव का निर्धारण करने के चार कार्यदिवसों के भीतर 8-K फॉर्म दाखिल करके करना होगा।�

कंपनियों को अपने वार्षिक रिपोर्टों में अपने साइबर जोखिम प्रबंधन प्रक्रिया के तत्वों को भी स्पष्ट करना होगा।

यह उल्लेखनीय है कि एंजेलमेयर ने एसईसी के इस दावे को भी खारिज कर दिया कि सोलरविंड्स ने उन नियमों का उल्लंघन किया था, जिनके तहत कंपनियों को खातों की त्रुटियों से खुद को बचाना अनिवार्य है। न्यायाधीश ने कहा कि साइबर सुरक्षा नियंत्रण इस प्रक्रिया का हिस्सा नहीं हैं। "यह व्याख्या अस्वीकार्य है," न्यायाधीश ने लिखा और कहा कि नियंत्रण स्पष्ट रूप से केवल वित्तीय लेखांकन के लिए लागू होते हैं।

मुझे लगता है कि यह कुछ अनुपालन विभागों को प्रकटीकरण आवश्यकताओं के मापदंडों के संबंध में कुछ सुरक्षा प्रदान कर सकता है," शार्गेल ने कहा।

SolarWinds ने एक पहले के उत्तर में एजेंसी पर मुकदमे के माध्यम से साइबर क्षेत्र में अपने नियामक प्रभाव को बढ़ाने का आरोप लगाया था।