Ein Bundesrichter hat am Donnerstag einen Teil einer wegweisenden Klage der Regierung gegen SolarWinds und dessen obersten Cybersicherheitsmanager wegen des Umgangs des Softwareunternehmens mit einer 2020 offenbarten Sicherheitsverletzung abgewiesen, die Kunden, einschließlich US-Regierungsbehörden, betraf.

Egy szövetségi bíró elutasította a kormány SolarWinds és annak legfelsőbb kiberbiztonsági vezetője elleni, egy 2020-ban nyilvánosságra hozott biztonsági rés kezelésével kapcsolatos perének egy részét csütörtökön, amely ügyfeleket, köztük amerikai kormányzati ügynökségeket is érintett.

Az USA Értékpapír- és Tőzsdefelügyelete (SEC) tavaly beperelte az austini, texasi székhelyű SolarWinds vállalatot és annak vezető információbiztonsági igazgatóját, Tim Brownt. Az ügy a kibertámadás kockázatának bemutatásával a biztonsági incidens előtt, valamint a befektetőknek az eset után nyújtott információkkal foglalkozott. Ez volt az első alkalom, hogy a tőzsdét felügyelő hatóság polgári csalás vádjával – ami a legsúlyosabb vád, amellyel a hatóság rendelkezik – eljárást indított egy nyilvános vállalat ellen, amely egy kibertámadás áldozata lett.

Einige Unternehmensgruppen und ehemalige Staatsanwälte kritisierten die Durchsetzungsmaßnahmen der SEC gegen gehackte Unternehmen, da diese die Opfer der Angriffe verantwortlich machen würden, die manchmal von staatlich unterstützten Akteuren durchgeführt werden. Die SEC argumentiert, dass Aktionäre ein Recht darauf haben zu wissen, wie öffentliche Unternehmen auf das Risiko von Angriffen reagieren, die oft den Aktienkurs des Unternehmens belasten.
-->
Néhány vállalatcsoport és volt ügyészek kritikát fogalmaztak meg az SEC hackelt vállalatokkal szembeni intézkedéseivel kapcsolatban, mivel ezek az intézkedések felelőssé tennék a támadások áldozatait, amelyek néha államilag támogatott szereplők által történnek. Az SEC azzal érvel, hogy a részvényeseknek joguk van tudni, hogyan reagálnak a nyilvánosan működő vállalatok az olyan támadások kockázatára, amelyek gyakran a vállalat részvényárfolyamát terhelik.

A SEC állítása, miszerint a SolarWinds nem tárta fel a részvényesek előtt a támadás teljes mértékét, „visszatekintésen és találgatáson” alapul, írta Paul Engelmayer amerikai kerületi bíró. A bíró azonban folytatta az ügynökség keresetét a SolarWinds más, a támadás előtti kijelentései miatt a kiberbiztonsági intézkedéseiről és kockázatairól.

Az USA később orosz állami támogatású hackereket tett felelőssé a támadásért. Moszkva tagadott minden részvételt.

Egy SolarWinds szóvivője elmondta, hogy a vállalat elégedett a bíró döntésével. "Örömmel várjuk a következő szakaszt, ahol először lesz lehetőségünk saját bizonyítékainkat bemutatni, és megmutatni, hogy miért pontatlan a fennmaradó állítás" - mondta.

Az SEC elutasította a nyilatkozatot.

Az SolarWinds-eset annyiban volt szokatlan, hogy egy magas rangú kiberbiztonsági menedzser ellen irányult.

Kibervédelmi szakértők, kereskedelmi szövetségek és vezetők aggodalmukat fejezték ki, hogy a Brown elleni per azt mutatja, hogy a szabályozó hatóságok most hajlandóak a kiberbiztonsági vezetőket felelősségre vonni. A SEC keresetét röviddel azután nyújtották be, hogy Joseph Sullivan látnibizottság vezetőjét 2016-os adatvédelmi incidens ügyében elítélték.

David Shargel, a Bracewell ügyvédi iroda partnere, azt mondta, hogy az SEC kereseteinek egy részének elutasítása minden szempontból győzelem a SolarWinds számára. A vállalatok ritkán nyernek ilyen korán az SEC elleni perekben.

„Es bleibt definitiv eine ernsthafte Anklage, und es dient als Erinnerung daran, dass Unternehmen sicherstellen müssen, dass ihre öffentlichen Aussagen korrekt und nicht irreführend sind“, sagte er.
„Továbbra is komoly vád marad, és emlékeztet arra, hogy a vállalatoknak biztosítaniuk kell, hogy nyilvános kijelentéseik helytállóak és nem félrevezetők legyenek" - mondta.

A SolarWinds elleni kereset óta új SEC-szabályok léptek életbe arra vonatkozóan, hogy a vállalatok mikor és hogyan kell, hogy nyilvánosságra hozzák a kibertámadásokat. A tőzsdén jegyzett vállalatoknak legkésőbb négy munkanappal azután, hogy megállapították, hogy a támadás lényeges hatással lesz üzletükre, jelenteniük kell a kibertámadást egy 8-K űrlap benyújtásával az illetékes hatóságnak. A vállalatoknak éves jelentéseikben is be kell mutatniuk a kockázati folyamat elemeit.

Figyelemre méltó, hogy Engelmayer elutasította az SEC állítását is, miszerint a SolarWinds megsértette azokat a szabályokat, amelyek előírják, hogyan kell a vállalatoknak védekezniük a könyvelési hibákkal szemben. A bíró kifejtette, hogy a kiberbiztonsági intézkedések nem részei ennek a folyamatnak. „Ez az értelmezés nem tartható fenn” – írta a bíró, és hozzátette, hogy az ellenőrzések egyértelműen csak a pénzügyi könyvelésre vonatkoznak.

„Azt hiszem, ez némi biztonságot nyújthat a megfelelési osztályok számára a közzétételi kötelezettségeik paramétereivel kapcsolatban” – mondta Shargel.

SolarWinds azzal vádolta a hatóságot egy korábbi válaszában, hogy a kiberbiztonság területén tágítja szabályozási befolyási körét.