Zvezni sodnik je v četrtek zavrnil del odmevne tožbe vlade proti SolarWinds in njegovemu glavnemu kibernetskemu varnostnemu direktorju zaradi ravnanja podjetja s programsko opremo v zvezi z varnostno kršitvijo, razkriti leta 2020, ki je prizadela stranke, vključno z ameriškimi vladnimi agencijami.

Ameriška borznoregulativna komisija (SEC) je lani tožila podjetje SolarWinds s sedežem v Austinu v Teksasu in njegovega glavnega direktorja za informacijsko varnost, Tima Browna. V tožbi je šlo za prikaz tveganja kibernetskega napada pred varnostno kršitvijo in informacije, ki so bile po incidentu posredovane vlagateljem. To je bil prvič, da je regulativni organ za vrednostne papirje zaradi civilnih obtožb o prevari – najresnejših obtožb, ki so na voljo organu – sprožil sodni postopek proti javnemu podjetju, ki je postalo žrtev kibernetskega napada.

Nekatere poslovne skupine in nekdanji državni tožilci kritizirali ukrepe SEC proti vdrtim podjetjem, saj bi ti ukrepi za napade krivili žrtve, ki so jih včasih izvedli državno podprti akterji. SEC trdi, da imajo delničarji pravico vedeti, kako javna podjetja odzivajo na tveganje napadov, ki pogosto obremenjujejo ceno delnic podjetja.

Trditev SEC, da SolarWinds ni v celoti razkril obsega napada delničarjem, temelji na "retrospektivi in ​​špekulacijah", je zapisal ameriški okrožni sodnik Paul Engelmayer. Vendar pa je sodnik dovolil nadaljevanje tožbe zoper organe SolarWinds zaradi drugih izjav pred napadom v zvezi z njihovimi kibernetskimi varnostnimi ukrepi in tveganji.

ZDA so pozneje za napad obtožile ruske državne hekerje. Moskva je kakršno koli vpletenost zanikala.

Tiskovni predstavnik podjetja SolarWinds je dejal, da je podjetje zadovoljno z odločitvijo sodnika. "Veselimo se naslednje faze, v kateri bomo prvič imeli priložnost predstaviti lastne dokaze in pokazati, zakaj je preostala trditev dejansko netočna," je dejal.

SEC je zavrnila komentar.

Primer SolarWinds je bil v tem smislu nenavaden, ker je bil usmerjen proti visokemu vodji kibernetske varnosti.

Kibernetski strokovnjaki, trgovinska združenja in vodstveni delavci so izrazili pomisleke, da tožba proti Brownu kaže, da so regulativni organi zdaj pripravljeni preganjati vodje kibernetske varnosti. Tožba SEC je bila vložena kmalu po obsodbi Josepha Sullivana, nekdanjega glavnega varnostnega uradnika podjetja Uber Technologies, zaradi kaznivega oviranja v zvezi z njegovimi dejanji med kršitvijo podatkov podjetja leta 2016, kar je povzročilo podobne skrbi.

David Shargel, partner pri odvetniški družbi Bracewell, je dejal, da je zavrnitev dela tožb SEC za SolarWinds „zmaga v vseh pogledih“. Podjetja redko zmagajo tako zgodaj v postopku proti tožbam SEC.

„Es bleibt definitiv eine ernsthafte Anklage, und es dient als Erinnerung daran, dass Unternehmen sicherstellen müssen, dass ihre öffentlichen Aussagen korrekt und nicht irreführend sind“, je dejal.

Od tožbe proti SolarWinds so začela veljati nova pravila SEC, kdaj in kako morajo podjetja razkriti kibernetske napade. Družbe, kotirajoče na borzi, morajo kibernetske napade prijaviti najkasneje v štirih delovnih dneh po ugotovitvi, da bo napad bistveno vplival na njihovo poslovanje, z vložitvijo obrazca 8-K pri organu. Podjetja morajo v svojih letnih poročilih tudi pojasniti elemente svojih procesov upravljanja kibernetskih tveganj.

Pozorno je, da je Engelmayer zavrnil tudi trditev SEC, da je SolarWinds kršil pravila, ki določajo, kako se morajo podjetja zaščititi pred računovodskimi napakami. Sodnik je pojasnil, da kibernetski varnostni ukrepi niso del tega procesa. "Ta razlaga ni vzdržna," je zapisal sodnik in dodal, da se ukrepi očitno nanašajo samo na finančno računovodstvo.

„Mislim, da bi to lahko nekaterim oddelkom za skladnost zagotovilo nekaj varnosti glede parametrov obveznosti razkritja,“ je povedal Shargel.

SolarWinds je agencijo v prejšnjem odgovoru na tožbo obtožil, da želi razširiti svoj regulatorni vpliv na področju kibernetike.