Ein Bundesrichter hat am Donnerstag einen Teil einer wegweisenden Klage der Regierung gegen SolarWinds und dessen obersten Cybersicherheitsmanager wegen des Umgangs des Softwareunternehmens mit einer 2020 offenbarten Sicherheitsverletzung abgewiesen, die Kunden, einschließlich US-Regierungsbehörden, betraf.

En federal domare avvisade på torsdagen delar av en banbrytande stämning från regeringen mot SolarWinds och dess främsta cybersäkerhetschef angående mjukvaruföretagets hantering av ett säkerhetsbrott som avslöjades 2020 och som drabbade kunder, inklusive amerikanska regeringsmyndigheter.

Den amerikanska finansinspektionen SEC stämde förra året Austin-baserade företaget SolarWinds och dess Chief Information Security Officer, Tim Brown. Det handlade om riskbeskrivningen av en cyberattack före säkerhetsbrottet och den information som gavs till investerarna efter händelsen. Detta var första gången som värdepappersregulatorn gick till domstol med civila bedrägerianklagelser – den allvarligaste anklagelsen som myndigheten har till sitt förfogande – mot ett offentligt företag som utsatts för en cyberattack.

Några företagsgrupper och tidigare åklagare kritiserade tillsynsåtgärderna från SEC mot hackade företag, eftersom dessa skulle hålla offren för angreppen ansvariga, som ibland utförs av statsunderstödda aktörer. SEC argumenterar att aktieägare har rätt att veta hur offentliga företag reagerar på risken för angrepp som ofta belastar företagets aktiekurs.

SEC:s påstående att SolarWinds inte avslöjade attackens fulla omfattning för aktieägarna är baserat på "efterhandskonstruktion och spekulation", skrev den amerikanska distriktsdomaren Paul Engelmayer. Domaren tillät dock myndighetens stämning att fortgå på grund av andra uttalanden från SolarWinds före attacken om dess cybersäkerhetsåtgärder och risker.

USA beskyllde senare ryska statligt stödda hackare för attacken. Moskva har förnekat all inblandning.

En talesman från SolarWinds sade att företaget var nöjt med domarens beslut. "Vi ser fram emot nästa fas, där vi för första gången kommer att ha möjlighet att lägga fram våra egna bevis och visa varför det kvarvarande påståendet är faktamässigt felaktigt," sade han.

SEC avböjde att kommentera.

Der Fall SolarWinds war insofern ungewöhnlich, als er sich gegen einen hochrangigen Cybersicherheitsmanager richtete.

Swedish translation:
Fallet SolarWinds var ovanligt på så sätt att det riktade sig mot en högt uppsatt cybersäkerhetschef.

Här är den översatta rubriken till svenska:

Cybersäkerhetsexperter, handelsorganisationer och företagsledare uttryckte oro över att åtalet mot Brown visar att tillsynsmyndigheterna nu är beredda att ställa ansvariga för cybersäkerhet till svars. SEC:s åtal lämnades in kort efter fördömandet av Joseph Sullivan, en före detta säkerhetschef på Uber Technologies, för kriminellt hindrande i samband med hans handlingar under företagets dataintrång år 2016, vilket väckte liknande farhågor.

David Shargel, partner på advokatbyrån Bracewell, sa att avvisningen av en del av SEC:s stämningar var en "seger på alla sätt" för SolarWinds. Företag vinner sällan så tidigt i processen mot SEC:s stämningar.

„Es bleibt definitiv eine ernsthafte Anklage, und es dient als Erinnerung daran, dass Unternehmen sicherstellen müssen, dass ihre öffentlichen Aussagen korrekt und nicht irreführend sind“, sade han.

Här är översättningen av rubriken till svenska:

"Sedan stämningen mot SolarWinds har nya SEC-regler trätt i kraft om när och hur företag måste offentliggöra cyberattacker. Börsnoterade företag måste rapportera cyberattacker senast fyra arbetsdagar efter att ha fastställt att attacken kommer att ha betydande påverkan på deras verksamhet, genom att lämna in ett 8-K-formulär till myndigheten. Företag måste också redogöra för delar av sin process för hantering av cyberrisker i sina årsrapporter.

Anmärkningsvärt är att Engelmayer också avvisade SEC:s påstående att SolarWinds hade brutit mot reglerna som föreskriver hur företag ska skydda sig mot bokföringsfel. Domaren förklarade att cybersäkerhetskontroller inte är en del av denna process. ”Denna tolkning är ohållbar”, skrev domaren och sade att kontrollerna tydligt endast gäller den finansiella bokföringen.

„Ich denke, das könnte einigen Compliance-Abteilungen in Bezug auf die Parameter der Offenlegungspflichten etwas Sicherheit geben“, sagte Shargel.

Translated heading to Swedish:
"Jag tror att detta kan ge vissa efterlevnadsavdelningar lite säkerhet när det gäller parametrarna för upplysningsplikterna," sade Shargel.

SolarWinds hade i ett tidigare svar på stämningen anklagat myndigheten för att vilja utöka sitt regulatoriska inflytande inom cybersäkerhet.