Federálny sudca vo štvrtok zamietol časť prelomovej žaloby vlády proti SolarWinds a jeho hlavnému manažérovi kybernetickej bezpečnosti za spôsob, akým sa softvérová spoločnosť zaoberala bezpečnostným narušením odhaleným v roku 2020, ktoré sa týkalo zákazníkov vrátane amerických vládnych agentúr.

Americká komisia pre cenné papiere a burzy (SEC) zažalovala v minulom roku spoločnosť SolarWinds so sídlom v Austine v Texase a jej hlavného bezpečnostného dôstojníka pre informácie, Tima Browna. Išlo o zobrazenie rizika kybernetického útoku pred porušením bezpečnosti a informácie, ktoré boli investorom poskytnuté po incidente. Bolo to prvýkrát, čo Komisia pre cenné papiere podala civilné žaloby za podvod, čo je najzávažnejšie obvinenie, ktoré má komisia k dispozícii, proti verejne obchodovanej spoločnosti, ktorá sa stala obeťou kybernetického útoku.

Einige Unternehmensgruppen und ehemalige Staatsanwälte kritisierten die Durchsetzungsmaßnahmen der SEC gegen gehackte Unternehmen, da diese die Opfer der Angriffe verantwortlich machen würden, die manchmal von staatlich unterstützten Akteuren durchgeführt werden. Die SEC argumentiert, dass Aktionäre ein Recht darauf haben zu wissen, wie öffentliche Unternehmen auf das Risiko von Angriffen reagieren, die oft den Aktienkurs des Unternehmens belasten.

Niektoré obchodné skupiny a bývalí prokurátori kritizovali vymáhacie opatrenia SEC voči hacknutým spoločnostiam, pretože tieto by mali niesť zodpovednosť za obete útokov, ktoré niekedy vykonávajú štátom podporovaní aktéri. SEC argumentuje, že akcionári majú právo vedieť, ako verejné spoločnosti reagujú na riziko útokov, ktoré často zaťažujú cenu akcií spoločnosti.

Tvrdí SEC, že SolarWinds neodhalil akcionárom celý rozsah útoku, je založené na "hindsight a špekuláciách," napísal americký okresný sudca Paul Engelmayer. Sudca však nechal pokračovať žalobu agentúry na základe iných tvrdení SolarWinds pred útokom o jeho opatreniach a rizikách kybernetickej bezpečnosti.

Spojené štáty americké neskôr obvinili z útoku ruských hackerov podporovaných štátom. Moskva odmietla akúkoľvek účasť.

Hovorca SolarWinds uviedol, že spoločnosť je s rozhodnutím sudcu spokojná. „Tešíme sa na ďalšiu fázu, v ktorej budeme mať po prvýkrát možnosť predložiť vlastné dôkazy a ukázať, prečo je zostávajúce tvrdenie fakticky nepresné,“ povedal.

SEC odmietla komentovať.

Prípad SolarWinds bol nezvyčajný tým, že bol zameraný na vysoko postaveného manažéra kybernetickej bezpečnosti.

Kyberbezpečnostní experti, obchodné združenia a vedúci pracovníci vyjadrili obavy, že žaloba proti Brownovej naznačuje, že regulačné orgány sú teraz pripravené stíhať šéfov kybernetickej bezpečnosti. Žaloba SEC bola podaná krátko po odsúdení Josepha Sullivana, bývalého hlavného bezpečnostného pracovníka spoločnosti Uber Technologies, za trestné marenie spravodlivosti v súvislosti s jeho konaním počas úniku dát spoločnosti v roku 2016, čo vyvolalo podobné obavy.

David Shargel, spoločník v advokátskej kancelárii Bracewell, povedal, že zamietnutie časti žalôb SEC je pre SolarWinds „víťazstvom vo všetkých ohľadoch“. Spoločnosti zriedka vyhrávajú tak skoro v procese proti žalobám SEC.

„Es bleibt definitiv eine ernsthafte Anklage, und es dient als Erinnerung daran, dass Unternehmen sicherstellen müssen, dass ihre öffentlichen Aussagen korrekt und nicht irreführend sind“, sagte er.
„Zostáva to určite vážne obvinenie a slúži ako pripomienka, že podniky musia zaručiť, že ich verejné vyhlásenia sú správne a neklamlivé,“ povedal.

Od žaloby proti SolarWinds vstúpili do platnosti nové pravidlá SEC o tom, kedy a ako musia spoločnosti zverejniť kybernetické útoky. Spoločnosti kótované na burze musia nahlásiť kybernetické útoky najneskôr do štyroch pracovných dní od zistenia, že útok bude mať podstatné dopady na ich podnik, a to podaním formulára 8-K u orgánu. Spoločnosti musia tiež v ročných správach uviesť prvky svojho procesu manažmentu kybernetických rizík.

Pozoruhodné je, že Engelmayer zamietol aj tvrdenie SEC, že SolarWinds porušil pravidlá, ktoré predpisujú, ako sa firmy musia chrániť pred účtovnými chybami. Sudca vysvetlil, že kybernetické kontroly nie sú súčasťou tohto procesu. „Tento výklad je neudržateľný,“ napísal sudca a uviedol, že kontroly sa jednoznačne týkajú iba finančného účtovníctva.

„Myslím, že to môže niektorým oddeleniam dodržiavania predpisov poskytnúť určitú istotu, pokiaľ ide o parametre povinností zverejňovania“, povedal Shargel.

SolarWinds obvinila úrad v predchádzajúcej odpovedi na žalobu z toho, že sa snaží rozšíriť svoj regulačný vplyv v oblasti kybernetickej bezpečnosti.