Američki savezni sudac odbacuje neke tužbe protiv softverske tvrtke u vezi s kršenjima sigurnosti

21. 07. 2024. 13:12

Savezni sudac odbacuje neke tužbe protiv softverske tvrtke zbog kršenja prilikom otkrivanja – donesena djelomična presuda.

Eulerpool News 21. srp 2024. 13:12

Ein Bundesrichter hat am Donnerstag einen Teil einer wegweisenden Klage der Regierung gegen SolarWinds und dessen obersten Cybersicherheitsmanager wegen des Umgangs des Softwareunternehmens mit einer 2020 offenbarten Sicherheitsverletzung abgewiesen, die Kunden, einschließlich US-Regierungsbehörden, betraf.

Jedan savezni sudac odbacio je u četvrtak dio značajne tužbe vlade protiv SolarWindsa i njegovog glavnog menadžera za kibernetičku sigurnost zbog načina na koji je softverska tvrtka postupila s povredom sigurnosti otkrivenom 2020. godine, koja je utjecala na klijente, uključujući američke vladine agencije.

Američki regulator za tržište vrijednosnih papira SEC je prošle godine tužio tvrtku SolarWinds sa sjedištem u Austinu, Texas, i njenog glavnog službenika za informacijsku sigurnost, Tima Browna. Optužbe su se odnosile na prikaz rizika od cyber napada prije sigurnosnog incidenta i informacije dane investitorima nakon incidenta. To je prvi put da je regulator za tržište vrijednosnih papira pokrenuo građansku tužbu zbog optužbi za prevaru – najteže optužbe koju regulator može podnijeti – protiv javne tvrtke koja je postala žrtva cyber napada.

Einige Unternehmensgruppen und ehemalige Staatsanwälte kritisierten die Durchsetzungsmaßnahmen der SEC gegen gehackte Unternehmen, da diese die Opfer der Angriffe verantwortlich machen würden, die manchmal von staatlich unterstützten Akteuren durchgeführt werden. Die SEC argumentiert, dass Aktionäre ein Recht darauf haben zu wissen, wie öffentliche Unternehmen auf das Risiko von Angriffen reagieren, die oft den Aktienkurs des Unternehmens belasten.

Neke poslovne skupine i bivši državni tužitelji kritizirali su provedbene mjere SEC-a protiv hakiranih poduzeća, jer bi mogle okriviti žrtve napada, koje ponekad provode državno podržani akteri. SEC tvrdi da dioničari imaju pravo znati kako javna poduzeća reagiraju na rizik od napada, koji često utječu na cijenu dionica poduzeća.

Tvrdnja SEC-a da SolarWinds nije otkrio dioničarima puni opseg napada, temelji se na "retrosporazumu i spekulacijama", napisao je američki okružni sudac Paul Engelmayer. Sudac je, međutim, dopustio da tužba agencije zbog drugih izjava SolarWindsa prije napada o njegovim mjerama i rizicima kibernetičke sigurnosti nastavi.

SAD su kasnije optužile hakere koje podržava ruska država za napad. Moskva je odbacila svaku umiješanost.

Ein Sprecher von SolarWinds sagte, das Unternehmen sei mit der Entscheidung des Richters zufrieden. „Wir freuen uns auf die nächste Phase, in der wir zum ersten Mal die Möglichkeit haben werden, unsere eigenen Beweise vorzulegen und zu zeigen, warum die verbleibende Behauptung faktisch ungenau ist“, sagte er. – izjavio je glasnogovornik SolarWindsa.

SEC je odbio dati izjavu.

Slučaj SolarWinds bio je neobičan jer je bio usmjeren protiv visokorangiranog menadžera za kibernetičku sigurnost.

Stručnjaci za kibernetičku sigurnost, trgovačka udruženja i rukovoditelji izrazili su zabrinutost da tužba protiv Browna pokazuje kako su regulatorna tijela sada spremna progoniti šefove kibernetičke sigurnosti. Tužba SEC-a je podnesena ubrzo nakon osude Josepha Sullivana, bivšeg glavnog stručnjaka za sigurnost kompanije Uber Technologies, za ometanje pravde u vezi s njegovim djelovanjem tijekom kršenja podataka u kompaniji 2016. godine, što je potaknulo slične strahove.

David Shargel, partner u odvjetničkom uredu Bracewell, rekao je da je odbacivanje dijela tužbi SEC-a za SolarWinds "u svakom pogledu pobjeda". Tvrtke rijetko pobjeđuju tako rano u procesu protiv tužbi SEC-a.

„To je i dalje ozbiljna optužba, i služi kao podsjetnik da tvrtke moraju osigurati da su njihove javne izjave točne i ne obmanjujuće“, rekao je.

Od tužbe protiv SolarWindsa na snagu su stupila nova pravila SEC-a o tome kada i kako tvrtke moraju otkrivati ​​kibernetičke napade. Javno trgovačke tvrtke moraju prijaviti kibernetičke napade podnošenjem obrasca 8-K agenciji najkasnije četiri radna dana nakon što utvrde da će napad imati značajan utjecaj na njihovo poslovanje. Tvrtke također moraju izložiti elemente svog procesa upravljanja kibernetičkim rizikom u svojim godišnjim izvješćima.

Bemerkenswert ist, dass Engelmayer auch die Behauptung der SEC abwies, SolarWinds habe gegen Regeln verstoßen, die vorschreiben, wie Unternehmen sich gegen Buchhaltungsfehler schützen müssen. Der Richter erklärte, dass Cybersicherheitskontrollen nicht Teil dieses Prozesses seien. „Diese Auslegung ist nicht haltbar“, schrieb der Richter und sagte, die Kontrollen gelten eindeutig nur für die Finanzbuchhaltung.

izvanredno je da je Engelmayer također odbio tvrdnju SEC-a da je SolarWinds prekršio pravila koja nalažu kako se tvrtke moraju štititi od računovodstvenih pogrešaka. Sudac je izjavio da kontrole kibernetičke sigurnosti nisu dio tog procesa. "Ovo tumačenje nije održivo", napisao je sudac dodajući da se kontrole jasno odnose samo na financijsko računovodstvo.

„Mislim da bi to nekima u odjelima za usklađenost moglo pružiti određenu sigurnost u vezi s parametrima obveza otkrivanja“, rekao je Shargel.

SolarWinds je Agenciju u prijašnjem odgovoru na tužbu optužio da želi proširiti svoj regulatorni utjecaj u području kibernetike.

Učini najbolje investicije svog života
fair value · 20 million securities worldwide · 50 year history · 10 year estimates · leading business news

Od 2 eura osigurajте

Novosti

Tehnologija

Verizon kupuje Frontier Communications za 20 milijardi USD i proširuje svoju optičku mrežu u SAD-u

Gospodarstvo

OPEC+ razmatra produljenje smanjenja proizvodnje zbog slabe potražnje

Poduzeća

John Lewis ponovno uvodi jamstvo cijene – Promjena strategije pod novim vodstvom

Poduzeća

Asos prodaje većinski udio u Topshopu i Topmanu za 135 milijuna funti

Poduzeća

PwC pooštrava smjernice za hibridni rad u Velikoj Britaniji