ผู้พิพากษาของรัฐบาลกลางได้ยกฟ้องบางส่วนในคดีสำคัญที่รัฐบาลฟ้อง SolarWinds และผู้จัดการอาวุโสด้านความปลอดภัยทางไซเบอร์ของบริษัทเกี่ยวกับการจัดการกรณีละเมิดความปลอดภัยที่ถูกเปิดเผยในปี 2020 ซึ่งส่งผลกระทบต่อบริษัทลูกค้ารวมถึงหน่วยงานรัฐบาลสหรัฐฯ

สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์สหรัฐ (SEC) ได้ยื่นฟ้องบริษัท SolarWinds ซึ่งตั้งอยู่ที่เมืองออสติน รัฐเท็กซัส และหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล Tim Brown เมื่อปีที่แล้ว ข้อกล่าวหาดังกล่าวเกี่ยวข้องกับการแสดงความเสี่ยงของการถูกโจมตีทางไซเบอร์ก่อนที่จะเกิดการละเมิดความปลอดภัย และข้อมูลที่ให้กับนักลงทุนหลังเกิดเหตุ นี่เป็นครั้งแรกที่หน่วยงานกำกับดูแลหลักทรัพย์ฟ้องร้องบริษัทมหาชนที่ตกเป็นเหยื่อของการโจมตีทางไซเบอร์ในข้อหาฉ้อโกงทางแพ่ง ซึ่งเป็นข้อกล่าวหาที่ร้ายแรงที่สุดที่หน่วยงานสามารถร้องขอได้

กลุ่มบริษัทรวมถึงอดีตอัยการวิจารณ์การบังคับใช้กฎหมายของ SEC ต่อบริษัทที่ถูกแฮ็ก โดยกล่าวว่ามาตรการเหล่านี้ทำให้เหยื่อของการโจมตีถูกตำหนิ ในขณะที่บางครั้งการโจมตีอาจกระทำโดยกลุ่มที่ได้รับการสนับสนุนจากรัฐ. SEC แย้งว่าผู้ถือหุ้นมีสิทธิ์ที่จะทราบว่าบริษัทมหาชนตอบสนองต่อความเสี่ยงจากการโจมตีอย่างไร ซึ่งมักจะส่งผลกระทบต่อราคาเสนอซื้อล่วงหน้าของบริษัท.

การกล่าวอ้างของ SEC ว่า SolarWinds ไม่ได้เปิดเผยขอบเขตของการโจมตีทั้งหมดให้กับผู้ถือหุ้นนั้นอิงจาก "การมองย้อนหลังและการคาดเดา" ผู้พิพากษาประจำเขตของสหรัฐอเมริกา Paul Engelmayer กล่าว อย่างไรก็ตาม ผู้พิพากษาอนุญาตให้คดีของหน่วยงานดำเนินต่อไปในส่วนของแถลงการณ์อื่นๆ ของ SolarWinds เกี่ยวกับมาตรการและความเสี่ยงด้านความปลอดภัยทางไซเบอร์ก่อนการโจมตี

สหรัฐอเมริกาโทษแฮ็กเกอร์ที่รัฐบาลรัสเซียสนับสนุนสำหรับการโจมตี ภูมิภาคเปตรูสกายปฏิเสธการมีส่วนร่วมทั้งหมด

โฆษกของ SolarWinds กล่าวว่า บริษัทพอใจกับการตัดสินใจของผู้พิพากษา "เรารอคอยขั้นตอนถัดไป ซึ่งเราจะมีโอกาสนำเสนอหลักฐานของเราเองเป็นครั้งแรกและแสดงให้เห็นว่าทำไมข้อกล่าวหาที่เหลือจึงไม่ถูกต้องตามข้อเท็จจริง" เขากล่าว

สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (SEC) ปฏิเสธที่จะให้ความเห็น

กรณี SolarWinds นั้นไม่ธรรมดา เนื่องจากพุ่งเป้าไปยังผู้จัดการความมั่นคงไซเบอร์ระดับสูง

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ สมาคมการค้า และผู้บริหารแสดงความกังวลว่าคดีฟ้องร้องกับ Brown แสดงให้เห็นว่าหน่วยงานกำกับดูแลพร้อมที่จะดำเนินคดีกับหัวหน้าฝ่ายความปลอดภัยทางไซเบอร์แล้ว คดีของ SEC ถูกยื่นฟ้องหลังจากการพิพากษา Joseph Sullivan อดีตหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยของ Uber Technologies ในข้อหาขัดขวางการกระทำผิดเกี่ยวกับการจัดการข้อมูลที่รั่วไหลของบริษัทในปี 2016 ข้อกังวลที่คล้ายคลึงกัน

David Shargel, หุ้นส่วนบริษัทกฎหมาย Bracewell กล่าวว่า การยกฟ้องบางส่วนของการฟ้องร้องโดย SEC ถือเป็น "ชัยชนะในทุกด้าน" สำหรับ SolarWinds บริษัทมักจะชนะคดีฟ้องร้องโดย SEC ในช่วงต้นของกระบวนการไม่บ่อยนัก

„มันยังคงเป็นข้อกล่าวหาที่ร้ายแรงอย่างแน่นอน และมันเป็นการเตือนใจว่าบริษัทต่างๆ ต้องมั่นใจว่าคำแถลงสาธารณะของพวกเขานั้นถูกต้องและไม่ทำให้เข้าใจผิด” เขากล่าว

ตั้งแต่การฟ้องร้องกับ SolarWinds กฎใหม่ของ SEC มีผลบังคับใช้ว่าเมื่อใดและอย่างไรที่บริษัทต้องเปิดเผยการโจมตีทางไซเบอร์ บริษัทที่จดทะเบียนในตลาดหลักทรัพย์ต้องรายงานการโจมตีทางไซเบอร์ภายในสี่วันทำการหลังจากที่พวกเขาพบว่าการโจมตีดังกล่าวมีผลกระทบสำคัญต่อธุรกิจของพวกเขา โดยการยื่นแบบฟอร์ม 8-K ต่อหน่วยงาน บริษัทต้องอธิบายองค์ประกอบของกระบวนการจัดการความเสี่ยงทางไซเบอร์ในรายงานประจำปีของพวกเขาด้วย

ที่น่าสังเกตคือ Engelmayer ยังปฏิเสธคำกล่าวอ้างของ SEC ว่า SolarWinds ละเมิดกฎที่กำหนดให้บริษัทต้องป้องกันความผิดพลาดทางบัญชี ผู้พิพากษาระบุว่าการควบคุมความปลอดภัยทางไซเบอร์ไม่ใช่ส่วนหนึ่งของกระบวนการนี้ “การตีความนี้ไม่ยั่งยืน” ผู้พิพากษาเขียน และกล่าวว่าการควบคุมมีผลเฉพาะสำหรับการบัญชีการเงินเท่านั้น

„ผมคิดว่าสิ่งนี้อาจทำให้ฝ่ายกำกับดูแลปฏิบัติบางแห่งมีความมั่นใจมากขึ้นในเรื่องของพารามิเตอร์ด้านข้อกำหนดการเปิดเผยข้อมูลได้บ้าง” ชาร์เกลกล่าว

SolarWinds ได้กล่าวหาหน่วยงานในคำตอบก่อนหน้านี้ต่อคดีว่าต้องการขยายอิทธิพลด้านการกำกับดูแลในเรื่องไซเบอร์