Federalinis teisėjas ketvirtadienį atmetė dalį reikšmingo Vyriausybės ieškinio prieš "SolarWinds" ir jos aukščiausiąjį kibernetinio saugumo vadovą dėl programinės įrangos bendrovės saugumo pažeidimo 2020 metais, kuris paveikė klientus, įskaitant JAV vyriausybės agentūras.

JAV vertybinių popierių ir biržų komisija (SEC) pernai padavė į teismą Ostine (Teksase) įsikūrusią bendrovę „SolarWinds“ ir jos vyriausiąjį informacijos saugumo pareigūną Timą Brauną. Buvo nagrinėjamas kibernetinės atakos rizikos vertinimas iki pažeidimo ir informacija, kuri buvo pateikta investuotojams po incidento. Tai buvo pirmas kartas, kai vertybinių popierių reguliavimo institucija dėl civilinių sukčiavimo kaltinimų – sunkiausio kaltinimo, kurį ši institucija gali pateikti – kreipėsi į teismą prieš viešąją bendrovę, tapusią kibernetinės atakos auka.

Kai kurios verslo grupės ir buvę prokurorai sukritikavo SEC vykdymo priemones prieš įsilaužusias įmones, nes jos neva kaltina atakų aukas, kurias kartais atlieka valstybės remiami veikėjai. SEC teigia, kad akcininkai turi teisę žinoti, kaip viešosios įmonės reaguoja į atakų riziką, kuri dažnai turi įtakos įmonės akcijų kainai.

SEC teiginys, kad „SolarWinds“ neatskleidė akcininkams viso atakos masto, buvo pagrįstas „atgaliniu žvilgsniu ir spėliojimais“, rašė JAV apygardos teisėjas Paulas Engelmayeris. Tačiau teisėjas leido agentūros ieškinį tęsti dėl kitų „SolarWinds“ teiginių prieš ataką apie savo kibernetinio saugumo priemones ir rizikas.

JAV vėliau dėl atakos apkaltino Rusijos valstybės remiamus programišius. Maskva paneigė bet kokį dalyvavimą.

„SolarWinds“ atstovas teigė, kad bendrovė yra patenkinta teismo sprendimu. „Mes džiaugiamės galėdami pereiti į kitą etapą, kuriame pirmą kartą turėsime galimybę pateikti savo įrodymus ir parodyti, kodėl likusieji teiginiai yra faktiškai netikslūs“, – sakė jis.

SEC leido pateikti diskusiją.

SolarWinds atvejis buvo neįprastas tuo, kad jis buvo nukreiptas prieš aukšto rango kibernetinio saugumo vadovą.

Kibernetinio saugumo ekspertai, prekybos asociacijos ir vadovai išreiškė susirūpinimą, kad ieškinys prieš Brown'ą rodo, jog reguliavimo institucijos dabar yra pasirengusios persekioti kibernetinio saugumo vadovus. SEC ieškinys buvo pateiktas netrukus po to, kai Joseph`as Sullivan`as, buvęs Uber Technologies vyriausiasis saugumo pareigūnas, buvo nuteistas už nusikalstamą trukdymą dėl savo veiksmų per bendrovės duomenų pažeidimą 2016 metais, kurio metu kilo panašių baimių.

„David Shargel, advokatų kontoros Bracewell partneris, pareiškė, kad dalies SEC ieškinių atmetimas SolarWinds yra „pergalė visais atžvilgiais“. Įmonės retai laimi taip anksti procese prieš SEC ieškinius.“

„Tai tikrai rimti kaltinimai ir tai primena, kad įmonės turi užtikrinti, jog jų vieši pareiškimai būtų teisingi ir neapgaulingi“, – sakė jis.

Nuo ieškinio prieš „SolarWinds“ įsigaliojo naujos SEC taisyklės, kurios nustato, kada ir kaip įmonės turi atskleisti kibernetinius išpuolius. Biržoje kotiruojamos įmonės privalo pranešti apie kibernetinius išpuolius per keturias darbo dienas nuo to laiko, kai nustatoma, kad išpuolis turės reikšmingą poveikį jų verslui, pateikdamos 8-K formą institucijai. Įmonės taip pat turi išdėstyti kibernetinio rizikos valdymo proceso elementus savo metinėse ataskaitose.

Pažymėtina, kad Engelmayer taip pat atmetė SEC teiginį, jog SolarWinds pažeidė taisykles, nustatančias, kaip įmonės turi saugotis apskaitos klaidų. Teisėjas paaiškino, kad kibernetinio saugumo kontrolės nėra šio proceso dalis. „Ši interpretacija yra nepagrįsta,“ rašė teisėjas, sakydamas, kad kontrolės aiškiai taikomos tik finansinei apskaitai.

„Manau, kad tai gali suteikti tam tikrą saugumą kai kuriems atitikties skyriams atsižvelgiant į atskleidimo pareigų parametrus“, sakė Shargel.

SolarWinds apkaltino agentūrą ankstesniame atsakyme į ieškinį, kad ši siekia išplėsti savo reguliavimo įtakos sritį kibernetinio saugumo srityje.