Федеральний суддя у четвер відхилив частину важливої позовної заяви уряду проти SolarWinds та його головного менеджера з кібербезпеки щодо поводження компанії з програмним забезпеченням після виявлення у 2020 році порушення безпеки, яке зачепило клієнтів, зокрема урядові агенції США.

Комісія з цінних паперів та бірж США (SEC) минулого року подала позов проти компанії SolarWinds, розташованої в Остіні, штат Техас, та її головного директора з питань інформаційної безпеки Тіма Брауна. Справа стосувалася представлення ризику кібератаки до інциденту з порушенням безпеки та інформації, наданої інвесторам після події. Це був перший випадок, коли регулятор цінних паперів подав до суду цивільний позов про шахрайство – найсерйозніше звинувачення, яке має право висувати установа – проти публічної компанії, що стала жертвою кібератаки.

Деякі корпоративні групи та колишні прокурори розкритикували заходи Комісії з цінних паперів та бірж США (SEC) щодо компаній, які постраждали від кібератак, оскільки вони звинувачують у нападах жертв, які іноді здійснюються за підтримки держави. Комісія з цінних паперів та бірж стверджує, що акціонери мають право знати, як публічні компанії реагують на ризик нападів, які часто негативно впливають на курс акцій компанії.

Заява SEC про те, що SolarWinds не розкрив акціонерам повного масштабу атаки, ґрунтується на «ретроспекції та спекуляціях», написав окружний суддя США Пол Енгельмаєр. Проте суддя дозволив продовжити позов агентства через інші заяви SolarWinds, зроблені перед атакою, щодо його заходів кібербезпеки та ризиків.

США пізніше звинуватили російських хакерів, підтримуваних державою, у нападі. Москва заперечила будь-яку причетність.

Речник SolarWinds сказав, що компанія задоволена рішенням судді. «Ми з нетерпінням чекаємо на наступний етап, коли вперше матимемо можливість надати власні докази та показати, чому залишене твердження фактично некоректне», – сказав він.

SEC відхилила прохання дати коментар.

Випадок SolarWinds був незвичним тим, що був спрямований проти високопоставленого менеджера з кібербезпеки.

Експерти з кібербезпеки, торговельні асоціації та керівники висловили занепокоєння, що позов проти Брауна свідчить про готовність регуляторних органів переслідувати керівників з кібербезпеки. Позов SEC був поданий незабаром після засудження Джозефа Саллівана, колишнього головного директора з безпеки Uber Technologies, за кримінальне перешкоджання, пов'язане з його діями під час витоку даних компанії у 2016 році, що викликало подібні побоювання.

Девід Шаргель, партнер юридичної фірми Bracewell, сказав, що відхилення частини позовів SEC є для SolarWinds «перемогою в усіх відношеннях». Компанії рідко перемагають на такому ранньому етапі у процесі проти позовів SEC.

„Це залишиться безумовно серйозним звинуваченням, і воно служить нагадуванням про те, що компанії повинні забезпечувати правильність і не вводити в оману своїми публічними заявами“, сказав він.

З часу подання позову проти SolarWinds набули чинності нові правила SEC щодо часу та способу розкриття кібератак компаніями. Компанії, акції яких котуються на біржі, повинні повідомити про кібератаку не пізніше ніж через чотири робочі дні після того, як вони визначать, що атака матиме суттєвий вплив на їхню діяльність, шляхом подачі форми 8-K до органу. Компанії також повинні викладати елементи свого процесу управління кіберризиками у своїх річних звітах.

Примітно, що Енгельмайєр також відхилив твердження SEC про те, що SolarWinds порушила правила, які визначають, як компанії повинні захищатися від бухгалтерських помилок. Суддя заявив, що заходи кібербезпеки не є частиною цього процесу. «Це тлумачення є неспроможним», – написав суддя і зазначив, що ці засоби контролю чітко стосуються лише фінансової бухгалтерії.

«Я думаю, це може дати деяку впевненість деяким підрозділам з питань дотримання норм щодо параметрів обов’язкових розкриттів», — сказав Шаргель.

SolarWinds звинуватив агентство у своєму попередньому запереченні проти позову в тому, що воно прагне розширити свою регуляторну сферу впливу в галузі кібербезпеки.