Ein Bundesrichter hat am Donnerstag einen Teil einer wegweisenden Klage der Regierung gegen SolarWinds und dessen obersten Cybersicherheitsmanager wegen des Umgangs des Softwareunternehmens mit einer 2020 offenbarten Sicherheitsverletzung abgewiesen, die Kunden, einschließlich US-Regierungsbehörden, betraf.

Een federale rechter heeft donderdag een deel van een baanbrekende rechtszaak van de regering tegen SolarWinds en zijn hoogste cybersecuritymanager afgewezen vanwege de omgang van het softwarebedrijf met een in 2020 onthulde beveiligingsinbreuk die klanten, waaronder Amerikaanse overheidsinstanties, betrof.

De Amerikaanse beurswaakhond SEC had vorig jaar het in Austin, Texas gevestigde bedrijf SolarWinds en zijn Chief Information Security Officer, Tim Brown, aangeklaagd. Het ging daarbij om de weergave van het risico van een cyberaanval vóór de beveiligingsinbreuk en de informatie die beleggers na het incident kregen. Het was de eerste keer dat de effectenregulator voor beschuldigingen van burgerlijke fraude - de zwaarste aanklacht die de autoriteit beschikbaar heeft - naar de rechter stapte tegen een openbaar bedrijf dat slachtoffer werd van een cyberaanval.

Hier is de Nederlandse vertaling van de opgegeven koptekst:

Enkele bedrijfsorganisaties en voormalige openbare aanklagers bekritiseerden de handhavingsmaatregelen van de SEC tegen gehackte bedrijven, omdat deze de slachtoffers van de aanvallen verantwoordelijk zouden stellen, die soms door door de staat gesteunde actoren worden uitgevoerd. De SEC stelt dat aandeelhouders het recht hebben te weten hoe openbare bedrijven reageren op het risico van aanvallen, die vaak de aandelenkoers van het bedrijf drukken.

De bewering van de SEC dat SolarWinds de aandeelhouders niet de volledige omvang van de aanval heeft onthuld, was gebaseerd op "achteraf bezien en speculatie", schreef de Amerikaanse districtsrechter Paul Engelmayer. De rechter liet de rechtszaak van de toezichthouder echter voortzetten vanwege andere verklaringen van SolarWinds over zijn cyberbeveiligingsmaatregelen en risico's vóór de aanval.

De VS gaven later door de staat gesteunde Russische hackers de schuld voor de aanval. Moskou ontkende elke betrokkenheid.

Ein Sprecher von SolarWinds zei dat het bedrijf tevreden was met de beslissing van de rechter. "We kijken uit naar de volgende fase, waarin we voor het eerst de mogelijkheid zullen hebben om ons eigen bewijsmateriaal voor te leggen en te laten zien waarom de resterende bewering feitelijk onjuist is", zei hij.

De SEC weigerde een reactie.

Der Fall SolarWinds war insofern ungewöhnlich, als er sich gegen einen hochrangigen Cybersicherheitsmanager richtete.
-->
De SolarWinds-zaak was ongewoon omdat het gericht was tegen een hooggeplaatste cybersecuritymanager.

Here is the translated heading in Dutch:

"Cybersecurity-experts, handelsverenigingen en leiders uitten bezorgdheid dat de aanklacht tegen Brown aantoont dat de regelgevers nu bereid zijn om cybersecurityhoofden te vervolgen. De aanklacht van de SEC werd kort na de veroordeling van Joseph Sullivan, een voormalige Chief Security Officer van Uber Technologies, voor strafbare obstructie in verband met zijn acties tijdens de datainbreuk van het bedrijf in 2016 ingediend, wat soortgelijke angsten aanwakkerde.

David Shargel, Partner bij advocatenkantoor Bracewell, zei dat de afwijzing van een deel van de aanklachten van de SEC voor SolarWinds „in alle opzichten een overwinning" is. Bedrijven winnen zelden zo vroeg in het proces tegen aanklachten van de SEC.

„Het blijft zeker een ernstige beschuldiging, en het dient als een herinnering dat bedrijven ervoor moeten zorgen dat hun openbare verklaringen correct en niet misleidend zijn“, zei hij.

Sinds de rechtszaak tegen SolarWinds zijn nieuwe regels van de SEC van kracht geworden, wanneer en hoe bedrijven cyberaanvallen moeten rapporteren. Beursgenoteerde bedrijven moeten cyberaanvallen uiterlijk vier werkdagen melden, nadat zij hebben vastgesteld dat de aanval aanzienlijke gevolgen zal hebben voor hun bedrijf, door het indienen van een 8-K-formulier bij de autoriteit. Bedrijven moeten ook elementen van hun cyber-risicobeheerproces in hun jaarverslagen uiteenzetten.

Opmerkelijk is dat Engelmayer ook de bewering van de SEC afwees dat SolarWinds de regels had overtreden die voorschrijven hoe bedrijven zich tegen boekhoudfouten moeten beschermen. De rechter verklaarde dat cyberbeveiligingscontroles geen deel uitmaken van dit proces. "Deze interpretatie is niet houdbaar", schreef de rechter, en zei dat de controles duidelijk alleen voor de financiële boekhouding gelden.

Ik denk dat dit enige zekerheid kan bieden aan enkele compliance-afdelingen met betrekking tot de parameters van de openbaarmakingsverplichtingen", zei Shargel.

SolarWinds beschuldigde de autoriteit in een eerdere reactie op de klacht ervan, hun regulerende invloed op het gebied van cyber te willen uitbreiden.