Savezni sudija je u četvrtak odbacio deo značajne tužbe vlade protiv SolarWinds-a i njegovog glavnog menadžera za sajber bezbednost zbog načina na koji je softverska kompanija postupila sa bezbednosnim prekršajem otkrivenim 2020. godine, koji je uticao na klijente, uključujući američke vladine agencije.
Američka Komisija za hartije od vrednosti (SEC) je prošle godine tužila kompaniju SolarWinds sa sedištem u Ostinu, Teksas, i njenog glavnog službenika za informacionu bezbednost, Tima Brauna. Radilo se o predstavljanju rizika od sajber napada pre povrede bezbednosti i informacijama koje su date investitorima nakon incidenta. Bilo je to prvi put da je regulator za hartije od vrednosti pokrenuo parnicu zbog optužbi za građansku prevaru – najozbiljnije optužbe koju agencija može izneti – protiv javnog preduzeća koje je postalo žrtva sajber napada.
Neke korporativne grupe i bivši tužioci kritikovali su mere sprovođenja SEC-a protiv hakovanih kompanija, jer bi time žrtve napada bile odgovorne za napade, koje ponekad sprovode državni akteri. SEC argumentuje da akcionari imaju pravo da znaju kako javna preduzeća reaguju na rizik od napada, koji često opterećuju cenu akcija kompanije.
Optužba SEC-a da SolarWinds nije otkrio deoničarima pun obim napada zasniva se na „retroaktivnom gledanju i spekulaciji“, napisao je američki okružni sudija Pol Engelmayer. Sudija je, međutim, dozvolio da se tužba agencije nastavi zbog drugih izjava SolarWindsa pre napada o njegovim merama sajber bezbednosti i rizicima.
SAD su kasnije optužile hakere koje podržava ruska država za napad. Moskva je negirala bilo kakvu umešanost.
Portparol kompanije SolarWinds izjavio je da je kompanija zadovoljna odlukom sudije. „Radujemo se sledećoj fazi, u kojoj ćemo po prvi put imati priliku da predstavimo sopstvene dokaze i pokažemo zašto je preostala tvrdnja činjenično netačna“, rekao je on.
SEC je odbila da da izjavu.
Slučaj SolarWinds bio je neobičan jer je bio usmeren protiv visokorangiranog menadžera za sajber bezbednost.
Stručnjaci za sajber bezbednost, trgovinska udruženja i rukovodioci izrazili su zabrinutost da tužba protiv Brauna pokazuje kako su regulatori sada spremni da gone šefove za sajber bezbednost. Tužba SEC-a je podneta nedugo nakon osude Džozefa Salivana, bivšeg glavnog bezbednosnog oficira Uber Tehnolodžiz, zbog krivičnog ometanja u vezi sa njegovim postupcima tokom kršenja podataka kompanije 2016. godine, što je izazvalo slične strahove.
David Shargel, partner u advokatskoj kancelariji Bracewell, rekao je da je odbacivanje dela tužbi SEC-a za SolarWinds "na svaki način pobeda". Kompanije retko pobeđuju protiv tužbi SEC-a tako rano u procesu.
„To i dalje ostaje ozbiljna optužba i služi kao podsetnik da kompanije moraju osigurati da njihove javne izjave budu tačne i ne dovode u zabludu“, rekao je.
Od podnošenja tužbe protiv SolarWindsa, stupila su na snagu nova pravila SEC-a o tome kada i kako kompanije moraju otkriti cyber napade. Javna preduzeća moraju prijaviti cyber napade najkasnije četiri radna dana nakon što utvrde da će napad imati značajan uticaj na njihovo poslovanje, podnošenjem obrasca 8-K komisiji. Takođe, kompanije moraju izložiti elemente svog procesa upravljanja cyber rizikom u svojim godišnjim izveštajima.
Značajno je napomenuti da je Engelmajer odbacio i tvrdnju SEC-a da je SolarWinds prekršio pravila koja nalažu kako se kompanije moraju zaštititi od računovodstvenih grešaka. Sudija je objasnio da mere sajbersigurnosti nisu deo ovog procesa. "Ovo tumačenje nije održivo", napisao je sudija i rekao da se mere jasno odnose samo na finansijsko računovodstvo.
„Mislim da bi to moglo pružiti određenu sigurnost nekim odeljenjima za usklađenost u vezi sa parametrima obaveza otkrivanja informacija“, rekao je Šargel.
SolarWinds je optužio vlast u ranijem odgovoru na tužbu da želi proširiti svoj regulatorni uticaj u oblasti sajber bezbednosti.
