Um juiz federal rejeitou na quinta-feira uma parte de um processo pioneiro do governo contra a SolarWinds e seu principal gerente de cibersegurança devido ao tratamento dado pela empresa a uma violação de segurança revelada em 2020, que afetou clientes, incluindo agências do governo dos EUA.
A agência reguladora do mercado de capitais dos EUA, a SEC, processou no ano passado a empresa SolarWinds, com sede em Austin, Texas, e seu diretor de segurança da informação, Tim Brown. A ação envolvia a representação do risco de um ataque cibernético antes da violação de segurança e as informações fornecidas aos investidores após o incidente. Esta foi a primeira vez que a agência de regulamentação de valores mobiliários recorreu à justiça com acusações de fraude civil – as mais graves à disposição do órgão – contra uma empresa pública que foi vítima de um ataque cibernético.
Alguns grupos empresariais e ex-procuradores criticaram as medidas de aplicação da SEC contra empresas hackeadas, alegando que estas responsabilizam as vítimas dos ataques, que às vezes são realizados por atores financiados pelo Estado. A SEC argumenta que os acionistas têm direito de saber como as empresas públicas reagem ao risco de ataques, que muitas vezes afetam o preço das ações da empresa.
A alegação da SEC de que a SolarWinds não revelou aos acionistas toda a extensão do ataque baseia-se em “retrospectiva e especulação”, escreveu o juiz distrital dos EUA Paul Engelmayer. No entanto, o juiz permitiu que a ação da agência continuasse com base em outras declarações da SolarWinds antes do ataque sobre suas medidas e riscos de cibersegurança.
Os EUA mais tarde responsabilizaram hackers apoiados pelo Estado russo pelo ataque. Moscou negou qualquer envolvimento.
Um porta-voz da SolarWinds disse que a empresa estava satisfeita com a decisão do juiz. "Estamos ansiosos para a próxima fase, em que teremos pela primeira vez a oportunidade de apresentar nossas próprias provas e mostrar por que a alegação remanescente é de fato imprecisa", disse ele.
A SEC recusou-se a comentar.
Der Fall SolarWinds war insofern ungewöhnlich, als er sich gegen einen hochrangigen Cybersicherheitsmanager richtete.
A tradução desse título para o português é:
O caso SolarWinds foi incomum, pois se dirigia a um alto executivo de cibersegurança.
Especialistas em cibersegurança, associações comerciais e executivos expressaram preocupações de que a ação judicial contra Brown indique que as autoridades reguladoras agora estão dispostas a perseguir chefes de cibersegurança. A ação judicial da SEC foi apresentada pouco depois da condenação de Joseph Sullivan, um ex-diretor de segurança da Uber Technologies, por obstrução criminosa relacionada às suas ações durante a violação de dados da empresa em 2016, alimentando preocupações semelhantes.
David Shargel, sócio do escritório de advocacia Bracewell, disse que a rejeição de parte das ações da SEC foi "uma vitória em todos os sentidos" para a SolarWinds. Empresas raramente ganham tão cedo no processo contra ações da SEC.
„Es bleibt definitiv eine ernsthafte Anklage, und es dient als Erinnerung daran, dass Unternehmen sicherstellen müssen, dass ihre öffentlichen Aussagen korrekt und nicht irreführend sind“, sagte er.
„Continua sendo definitivamente uma acusação grave, e serve como um lembrete de que as empresas devem garantir que suas declarações públicas sejam corretas e não enganosas“, disse ele.
Desde o processo contra a SolarWinds, novas regras da SEC entraram em vigor sobre quando e como as empresas devem divulgar ataques cibernéticos. Empresas listadas em bolsa precisam informar à agência sobre ataques cibernéticos por meio do formulário 8-K dentro de quatro dias úteis após determinar que o ataque terá impactos significativos em seus negócios. As empresas também devem detalhar os elementos de seu processo de gerenciamento de risco cibernético em seus relatórios anuais.
É notável que Engelmayer também rejeitou a alegação da SEC de que a SolarWinds violou regras que exigem como as empresas devem se proteger contra erros contábeis. O juiz declarou que os controles de cibersegurança não fazem parte desse processo. “Essa interpretação é insustentável”, escreveu o juiz, afirmando que os controles se aplicam claramente apenas à contabilidade financeira.
„Acho que isso pode proporcionar um pouco de segurança para alguns departamentos de Compliance em relação aos parâmetros das obrigações de divulgação“, disse Shargel.
SolarWinds acusou a agência em uma resposta anterior à ação judicial de querer expandir sua área de influência regulatória no campo cibernético.
