Ein Bundesrichter hat am Donnerstag einen Teil einer wegweisenden Klage der Regierung gegen SolarWinds und dessen obersten Cybersicherheitsmanager wegen des Umgangs des Softwareunternehmens mit einer 2020 offenbarten Sicherheitsverletzung abgewiesen, die Kunden, einschließlich US-Regierungsbehörden, betraf.

Un judecător federal a respins joi o parte dintr-un proces de referință intentat de guvern împotriva SolarWinds și a șefului său de securitate cibernetică, în legătură cu modul în care compania de software a gestionat o breșă de securitate dezvăluită în 2020, care a afectat clienți, inclusiv agenții guvernamentale din SUA.

SEC, autoritatea de supraveghere a pieței bursiere din SUA, a dat în judecată anul trecut compania SolarWinds, cu sediul în Austin, Texas și pe directorul acesteia pentru securitate informatică, Tim Brown. Procesul s-a referit la modul în care a fost prezentat riscul unui atac cibernetic înainte de încălcarea securității și informațiile oferite investitorilor după incident. A fost pentru prima dată când autoritatea de reglementare a valorilor mobiliare a inițiat un proces pentru acuzații civile de fraudă – cea mai gravă acuzație de care dispune autoritatea – împotriva unei companii publice, care a devenit victimă a unui atac cibernetic.

Unele grupuri de afaceri și foști procurori au criticat măsurile de aplicare ale SEC împotriva companiilor piratate, afirmând că acestea fac responsabile victimele atacurilor care uneori sunt efectuate de actori susținuți de stat. SEC susține că acționarii au dreptul de a ști cum reacționează companiile publice la riscul atacurilor, care deseori afectează prețul acțiunilor companiei.

Iată traducerea în limba română:

**Afirmația SEC că SolarWinds nu a dezvăluit investitorilor întreaga amploare a atacului se bazează pe „retrospectivă și speculație”, a scris judecătorul districtual american Paul Engelmayer. Cu toate acestea, judecătorul a permis continuarea procesului intentat de agenție pe baza altor declarații făcute de SolarWinds înainte de atac privind măsurile și riscurile sale de securitate cibernetică.**

SUA au învinuit ulterior hackerii susținuți de statul rus pentru atac. Moscova a negat orice implicare.

Un purtător de cuvânt al SolarWinds a declarat că compania este mulțumită de decizia judecătorului. „Așteptăm cu nerăbdare următoarea etapă, în care vom avea pentru prima dată posibilitatea de a prezenta propriile dovezi și de a arăta de ce afirmația rămasă este inexactă din punct de vedere factual”, a spus el.

SEC a refuzat să comenteze.

Cazul SolarWinds a fost neobișnuit, deoarece a vizat un manager de securitate cibernetică de rang înalt.

Experți în securitate cibernetică, asociații comerciale și lideri și-au exprimat îngrijorarea că procesul împotriva lui Brown arată că autoritățile de reglementare sunt acum pregătite să urmărească șefii cibernetici. Procesul SEC a fost intentat la scurt timp după condamnarea lui Joseph Sullivan, un fost ofițer șef de securitate al Uber Technologies, pentru obstrucționare criminală în legătură cu acțiunile sale în timpul încălcării datelor companiei în 2016, provocând îngrijorări similare.

David Shargel, partener la firma de avocatură Bracewell, a spus că respingerea unei părți din procesele SEC reprezintă pentru SolarWinds „o victorie în toate privințele”. Companiile câștigă rareori atât de devreme în proces împotriva proceselor SEC.

„Este cu siguranță o acuzație serioasă și servește ca un reminder că companiile trebuie să se asigure că declarațiile lor publice sunt corecte și nu înșelătoare”, a spus el.

De la acțiunea în justiție împotriva SolarWinds, au intrat în vigoare noi reguli ale SEC privind momentul și modul în care companiile trebuie să dezvăluie atacurile cibernetice. Companiile listate la bursă trebuie să raporteze atacurile cibernetice prin depunerea unui formular 8-K la autoritate în termen de cel mult patru zile lucrătoare de la constatarea faptului că atacul va avea un impact semnificativ asupra afacerii lor. Companiile trebuie, de asemenea, să includă elemente ale procesului lor de gestionare a riscurilor cibernetice în rapoartele lor anuale.

Este de remarcat că Engelmayer a respins și afirmația SEC, conform căreia SolarWinds ar fi încălcat regulile care prevăd modul în care companiile trebuie să se protejeze împotriva erorilor contabile. Judecătorul a explicat că măsurile de securitate cibernetică nu fac parte din acest proces. „Această interpretare nu este sustenabilă”, a scris judecătorul, adăugând că măsurile se aplică clar doar contabilității financiare.

„Cred că acest lucru ar putea oferi unor departamente de conformitate o anumită siguranță în ceea ce privește parametrii obligațiilor de divulgare”, a spus Shargel.

SolarWinds a acuzat anterior agenția în răspunsul său la proces că dorește să-și extindă sfera de influență în domeniul cibernetic.