Федеральный судья отклонил часть знакового иска правительства против SolarWinds и его главного специалиста по кибербезопасности в связи с нарушением безопасности, выявленным в 2020 году, которое затронуло клиентов, включая правительственные учреждения США.

SEC обвинила предприятие SolarWinds и его директора по информационной безопасности Тима Брауна в офисе компании в Остине, штат Техас.

Некоторые корпорации и бывшие прокуроры раскритиковали меры SEC против взломанных компаний, поскольку они обвиняют жертв атак, которые иногда осуществляются государственными актерами. SEC утверждает, что акционеры имеют право знать, как публичные компании реагируют на риск атак, которые часто влияют на курс акций компании.

Утверждение SEC о том, что SolarWinds не раскрыла акционерам полный масштаб атаки, основано на «ретроспективе и спекуляциях», написал судья США Пол Энгельмайер. Однако судья позволил иску ведомства продолжиться на основании других заявлений SolarWinds о своих мерах и рисках кибербезопасности до атаки.

США позже обвинили в атаке российских хакеров, поддерживаемых государством. Москва отрицала любую причастность.

Представитель SolarWinds заявил, что компания удовлетворена решением судьи. „Мы с нетерпением ждем следующего этапа, на котором у нас впервые появится возможность представить свои собственные доказательства и показать, почему оставшееся утверждение фактически неверно“, — сказал он.

Комиссия по ценным бумагам и биржам отказалась от комментариев.

Случай SolarWinds был необычен тем, что был направлен против высокопоставленного менеджера по кибербезопасности.

Эксперты по кибербезопасности, торговые ассоциации и руководители выразили обеспокоенность тем, что иск против Брауна показывает готовность регуляторов преследовать руководителей по вопросам кибербезопасности. Иск SEC был подан вскоре после осуждения Джозефа Салливана, бывшего главного специалиста по безопасности Uber Technologies, за преступное воспрепятствование, связанное с его действиями во время утечки данных компании в 2016 году, что вызвало аналогичные опасения.

Дэвид Шаргел, партнер юридической фирмы Bracewell, заявил, что отклонение части исков SEC является «победой во всех отношениях» для SolarWinds. Компании редко выигрывают судебные процессы против SEC на столь раннем этапе.

„Это, безусловно, остается серьезным обвинением и служит напоминанием о том, что компании должны обеспечивать точность и достоверность своих публичных заявлений“, – сказал он.

С момента подачи иска против SolarWinds вступили в силу новые правила SEC относительно того, когда и как компании должны раскрывать информацию о кибератаках. Котирующиеся на бирже компании обязаны сообщить о кибератаках не позднее чем через четыре рабочих дня после того, как они установят, что атака окажет значительное влияние на их бизнес, путем подачи формы 8-K в агентство. Компании также должны изложить элементы своего процесса управления киберрисками в своих годовых отчетах.

Примечательно, что Энгельмайер также отклонил утверждение SEC, что SolarWinds нарушила правила, предписывающие, как компании должны защищаться от бухгалтерских ошибок. Судья заявил, что средства кибербезопасности не являются частью этого процесса. «Это толкование недопустимо», — написал судья, отметив, что средства контроля явно относятся только к финансовой отчетности.

„Я думаю, это может дать некоторую уверенность отделам по соблюдению нормативных требований в отношении параметров обязательств по раскрытию информации“, — сказал Шаргель.

SolarWinds обвинила агентство в прежнем ответе на иск в желании расширить своё регулирование в области кибербезопасности.