Einen Bundesrichter hat am Donnerstag einen Teil einer wegweisenden Klage der Regierung gegen SolarWinds und dessen obersten Cybersicherheitsmanager wegen des Umgangs des Softwareunternehmens mit einer 2020 offenbarten Sicherheitsverletzung abgewiesen, die Kunden, einschließlich US-Regierungsbehörden, betraf.

ASV Vērtspapīru un biržu komisija (SEC) pagājušajā gadā iesūdzēja Ostinā, Teksasā, bāzēto uzņēmumu SolarWinds un tā galveno informācijas drošības amatpersonu Timu Braunu tiesā. Prasība bija par riska noformulējumu pirms kiberuzbrukuma un informāciju, kas tika sniegta investoriem pēc incidenta. Tas bija pirmais gadījums, kad vērtspapīru regulatora iestāde iesūdzēja publisku uzņēmumu, kas bija kiberuzbrukuma upuris, par civiltiesisku krāpšanu – visnopietnāko apsūdzību, ko iestāde var izvirzīt.

Einige Unternehmensgruppen und ehemalige Staatsanwälte kritisierten die Durchsetzungsmaßnahmen der SEC gegen gehackte Unternehmen, da diese die Opfer der Angriffe verantwortlich machen würden, die manchmal von staatlich unterstützten Akteuren durchgeführt werden. Die SEC argumentiert, dass Aktionäre ein Recht darauf haben zu wissen, wie öffentliche Unternehmen auf das Risiko von Angriffen reagieren, die oft den Aktienkurs des Unternehmens belasten.

Dažas uzņēmumu grupas un bijušie prokurori kritizēja SEC īstenošanas pasākumus pret uzlauztajiem uzņēmumiem, jo tie uzbrukumu upurus padarītu atbildīgus, kaut arī tos dažkārt veic valsts atbalstīti dalībnieki. SEC apgalvo, ka akcionāriem ir tiesības zināt, kā publiski uzņēmumi reaģē uz uzbrukumu risku, kas bieži vien ietekmē uzņēmuma akciju cenu.

Latvian translation:
ASV apgabaltiesas tiesnesis Pols Engelmajers rakstīja, ka SEC apgalvojums, ka SolarWinds nav atklājis akcionāriem uzbrukuma pilnu apmēru, balstās uz „atgriezenisko skatījumu un spekulācijām“. Tomēr tiesnesis ļāva turpināt iestādes prasību, pamatojoties uz citiem SolarWinds paziņojumiem pirms uzbrukuma par tās kiberdrošības pasākumiem un riskiem.

ASV vēlāk par uzbrukumu apsūdzēja Krievijas valsts atbalstītus hakerus. Maskava noliedza jebkādu saistību.

SolarWinds pārstāvis sacīja, ka uzņēmums ir apmierināts ar tiesneša lēmumu. „Mēs ar nepacietību gaidām nākamo posmu, kurā mums pirmo reizi būs iespēja iesniegt savus pierādījumus un parādīt, kāpēc atlikusī prasība ir faktiski neprecīza,” viņš sacīja.

Die SEC lehnte eine Stellungnahme ab. -> "SEC atteicās sniegt komentāru.

SolarWinds lieta bija neparasta, jo tā bija vērsta pret augsta ranga kiberdrošības pārvaldnieku.

Kiberdrošības eksperti, tirdzniecības asociācijas un vadītāji pauda bažas, ka prasība pret Braunu parāda, ka regulatori tagad ir gatavi vērsties pret kiberdrošības vadītājiem. Vērtspapīru un biržu komisijas prasība tika iesniegta neilgi pēc Džozefa Sullivana, bijušā Uber Technologies drošības vadītāja, notiesāšanas par kriminālu traucēšanu saistībā ar viņa darbībām uzņēmuma datu pārkāpuma laikā 2016. gadā, kas izraisīja līdzīgas bažas.

Deivids Šārgels, advokātu biroja "Bracewell" partneris, sacīja, ka daļējas SEC prasību noraidīšana ir "uzvara visos aspektos" priekš SolarWinds. Uzņēmumi reti uzvar tik agri pret SEC prasībām.

„Tas joprojām ir nopietns apsūdzības akts, un tas atgādina, ka uzņēmumiem ir jānodrošina, ka viņu publiskie paziņojumi ir precīzi un nemaldinoši,“ viņš teica.

Kopš SolarWinds prāvas stāšanās spēkā SEC ir ieviesusi jaunas normas par to, kad un kā uzņēmumi ir jāatklāj kiberuzbrukumi. Publiski tirgoti uzņēmumi ir jāziņo par kiberuzbrukumiem ne vēlāk kā četras darba dienas pēc tam, kad viņi ir noskaidrojuši, ka uzbrukumam būs būtiska ietekme uz viņu darbību, izmantojot 8-K veidlapas iesniegšanu iestādē. Uzņēmumi arī ir jāatklāj savos gada pārskatos savas kiberrisku pārvaldības procesa elementus.

Ievērojams ir tas, ka Engelmayers arī noraidīja SEC apgalvojumu, ka SolarWinds ir pārkāpis noteikumus, kas nosaka, kā uzņēmumiem ir jāaizsargājas pret grāmatvedības kļūdām. Tiesnesis paskaidroja, ka kiberdrošības kontroles nav šī procesa sastāvdaļa. "Šī interpretācija nav pamatota," rakstīja tiesnesis, sakot, ka kontroles attiecas tikai uz finanšu grāmatvedību.

„Es domāju, ka tas dažām atbilstības nodaļām varētu sniegt zināmu drošības sajūtu attiecībā uz atklāšanas prasību parametriem,“ sacīja Šargels.

SolarWinds apsūdzēja iestādi iepriekšējā atbildē uz prasību, ka tā vēlas paplašināt savu regulējošo ietekmi kiberjomā.