Sędzia federalny odrzucił w czwartek część przełomowego pozwu rządu przeciwko SolarWinds i jego głównemu menedżerowi ds. cyberbezpieczeństwa za sposób, w jaki firma oprogramowaniowa zajmowała się naruszeniem bezpieczeństwa ujawnionym w 2020 roku, które dotyczyło klientów, w tym agencji rządowych USA.

Amerykańska Komisja Papierów Wartościowych i Giełd (SEC) pozwała w zeszłym roku firmę SolarWinds z siedzibą w Austin w Teksasie oraz jej dyrektora ds. bezpieczeństwa informacji, Tima Browna. Sprawa dotyczyła przedstawienia ryzyka cyberataku przed naruszeniem bezpieczeństwa oraz informacji udzielanych inwestorom po incydencie. Był to pierwszy raz, gdy organ regulacyjny ds. papierów wartościowych złożył pozew cywilny o oszustwo – najpoważniejsze zarzuty dostępne dla tego organu – przeciwko publicznej firmie, która padła ofiarą cyberataku.

Niektóre grupy korporacyjne i byli prokuratorzy krytykowali działania SEC przeciwko zhakowanym firmom, twierdząc, że obarczają one winą ofiary ataków, które czasami są przeprowadzane przez aktorów wspieranych przez państwo. SEC argumentuje, że akcjonariusze mają prawo wiedzieć, jak spółki publiczne reagują na ryzyko ataków, które często wpływają na kurs akcji firmy.

Twierdzenie SEC, że SolarWinds nie ujawnił akcjonariuszom pełnej skali ataku, opiera się na „retrospekcji i spekulacjach”, napisał sędzia okręgowy USA Paul Engelmayer. Sędzia jednak dopuścił kontynuację pozwu agencji na podstawie innych oświadczeń SolarWinds przed atakiem dotyczących jego środków cyberbezpieczeństwa i ryzyk.

USA później obwiniły wspieranych przez państwo rosyjskich hakerów za atak. Moskwa zaprzeczyła wszelkiemu zaangażowaniu.

Rzecznik SolarWinds powiedział, że firma jest zadowolona z decyzji sędziego. „Cieszymy się na kolejną fazę, w której po raz pierwszy będziemy mieli możliwość przedstawienia własnych dowodów i wykazania, dlaczego pozostałe roszczenie jest faktycznie nieścisłe” – powiedział.

SEC odmówiła komentarza.

Przypadek SolarWinds był o tyle niezwykły, że był skierowany przeciwko wysoko postawionemu menedżerowi ds. cyberbezpieczeństwa.

Eksperci ds. cyberbezpieczeństwa, związki handlowe i kierownictwo wyrazili obawy, że pozew przeciwko Brown pokazuje, że organy regulacyjne są teraz gotowe do ścigania szefów ds. cyberbezpieczeństwa. Pozew SEC został złożony krótko po skazaniu Josepha Sullivana, byłego Chief Security Officer firmy Uber Technologies, za przestępcze utrudnianie działań w związku z jego działaniami podczas naruszenia danych firmy w 2016 roku, co wzbudziło podobne obawy.

David Shargel, Partner bei der Anwaltskanzlei Bracewell, sagte, die Abweisung eines Teils der Klagen der SEC sei für SolarWinds „in jeder Hinsicht ein Sieg“. Unternehmen gewinnen selten so früh im Prozess gegen Klagen der SEC.

David Shargel, partner w kancelarii prawniczej Bracewell, powiedział, że odrzucenie części pozwów SEC jest dla SolarWinds "zwycięstwem pod każdym względem". Firmy rzadko wygrywają tak wcześnie w procesie z pozwami SEC.

„Es bleibt definitiv eine ernsthafte Anklage, und es dient jako przypomnienie, że firmy muszą upewnić się, że ich publiczne wypowiedzi są dokładne i nie wprowadzają w błąd” – powiedział.

Od czasu złożenia pozwu przeciwko SolarWinds obowiązują nowe zasady SEC dotyczące tego, kiedy i jak firmy muszą ujawniać cyberataki. Spółki notowane na giełdzie muszą zgłaszać cyberataki w ciągu czterech dni roboczych od ustalenia, że atak będzie miał istotny wpływ na ich działalność, składając formularz 8-K do organu. Firmy muszą również przedstawiać elementy swojego procesu zarządzania ryzykiem cybernetycznym w raportach rocznych.

Zauważalne jest, że Engelmayer odrzucił również twierdzenie SEC, iż SolarWinds naruszyło przepisy dotyczące ochrony przed błędami księgowymi. Sędzia stwierdził, że kontrole cyberbezpieczeństwa nie są częścią tego procesu. "Ta interpretacja jest nie do utrzymania" – napisał sędzia, dodając, że kontrole jednoznacznie dotyczą tylko księgowości finansowej.

„Myślę, że to może dać pewne poczucie bezpieczeństwa działom ds. zgodności w kwestii parametrów obowiązków informacyjnych”, powiedział Shargel.

SolarWinds hatte die Behörde in einer früheren Erwiderung auf die Klage beschuldigt, ihren regulatorischen Einflussbereich im Bereich Cyber erweitern zu wollen.

SolarWinds oskarżył urząd w wcześniejszej odpowiedzi na pozew o próbę rozszerzenia swojego wpływu regulacyjnego w dziedzinie cyberbezpieczeństwa.