Thẩm phán liên bang đã bác bỏ một phần đơn kiện quan trọng của chính phủ đối với SolarWinds và giám đốc an ninh mạng hàng đầu của công ty phần mềm này về cách xử lý vụ vi phạm an ninh được tiết lộ vào năm 2020, liên quan đến khách hàng, bao gồm các cơ quan chính phủ Hoa Kỳ.

Ủy ban Chứng khoán và Giao dịch Mỹ (SEC) đã kiện công ty SolarWinds có trụ sở tại Austin, Texas, và Giám đốc An ninh Thông tin Tim Brown vào năm ngoái. Vụ kiện liên quan đến việc công ty trình bày rủi ro của một cuộc tấn công mạng trước khi xảy ra vi phạm an ninh và thông tin cung cấp cho các nhà đầu tư sau sự cố. Đây là lần đầu tiên cơ quan điều chỉnh chứng khoán truy tố một công ty đại chúng, nạn nhân của một cuộc tấn công mạng, với cáo buộc lừa đảo dân sự – cáo buộc nghiêm trọng nhất mà cơ quan này có trong tay.

Một số tập đoàn và cựu công tố viên chỉ trích các biện pháp thực thi của SEC đối với các công ty bị hack, vì điều này sẽ khiến các nạn nhân của các cuộc tấn công phải chịu trách nhiệm, đôi khi do các tác nhân được nhà nước hỗ trợ thực hiện. SEC lập luận rằng các cổ đông có quyền biết cách các công ty đại chúng phản ứng với rủi ro từ các cuộc tấn công, điều này thường làm giảm giá cổ phiếu của công ty.

Here is the translation of your heading to Vietnamese:

"Nhận định của SEC rằng SolarWinds đã không tiết lộ đầy đủ về mức độ của cuộc tấn công cho cổ đông dựa trên 'nhìn lại và suy đoán,' thẩm phán quận Mỹ Paul Engelmayer viết. Tuy nhiên, thẩm phán đã cho phép vụ kiện của cơ quan này tiếp tục dựa trên các phát biểu khác của SolarWinds trước cuộc tấn công về các biện pháp và rủi ro an ninh mạng của mình.

Hoa Kỳ sau đó cáo buộc tin tặc do nhà nước Nga hỗ trợ thực hiện cuộc tấn công. Mátxcơva đã phủ nhận mọi sự tham gia.

Người phát ngôn của SolarWinds cho biết, công ty hài lòng với quyết định của thẩm phán. "Chúng tôi mong chờ giai đoạn tiếp theo, nơi lần đầu tiên chúng tôi sẽ có cơ hội đưa ra bằng chứng của riêng mình và chứng minh tại sao tuyên bố còn lại là không chính xác," ông nói.

SEC từ chối đưa ra bình luận.

Vụ SolarWinds là bất thường ở chỗ nó nhắm vào một nhà quản lý an ninh mạng cao cấp.

Các chuyên gia an ninh mạng, hiệp hội thương mại và lãnh đạo bày tỏ lo ngại rằng vụ kiện chống lại Brown cho thấy các cơ quan quản lý hiện đang sẵn sàng truy tố các giám đốc an ninh mạng. Vụ kiện của SEC được đệ trình ngay sau khi Joseph Sullivan, một cựu Giám đốc An ninh của Uber Technologies, bị kết tội cản trở hình sự liên quan đến hành động của ông trong vụ vi phạm dữ liệu của công ty vào năm 2016, gây ra những lo ngại tương tự.

David Shargel, đối tác tại công ty luật Bracewell, cho biết, việc bác bỏ một phần các vụ kiện của SEC là một "chiến thắng hoàn toàn" cho SolarWinds. Các công ty hiếm khi thắng kiện chống lại SEC sớm như vậy trong quy trình.

„Es bleibt definitiv eine ernsthafte Anklage, und es dient als Erinnerung daran, dass Unternehmen sicherstellen müssen, dass ihre öffentlichen Aussagen korrekt und nicht irreführend sind“, sagte er.
„Nó chắc chắn vẫn là một cáo buộc nghiêm trọng và là một lời nhắc nhở rằng các công ty phải đảm bảo rằng các tuyên bố công khai của họ là chính xác và không gây hiểu lầm”, ông nói.

Kể từ khi vụ kiện chống lại SolarWinds, các quy định mới của SEC đã có hiệu lực về thời điểm và cách các công ty phải công khai các cuộc tấn công mạng. Các công ty niêm yết phải báo cáo các cuộc tấn công mạng muộn nhất là bốn ngày làm việc sau khi họ xác định rằng vụ tấn công sẽ có ảnh hưởng đáng kể đến hoạt động kinh doanh của họ, bằng cách nộp Mẫu 8-K cho cơ quan. Các công ty cũng phải trình bày các yếu tố của quy trình quản lý rủi ro mạng của họ trong các báo cáo hàng năm.

Điều đáng chú ý là Engelmayer cũng bác bỏ tuyên bố của SEC rằng SolarWinds đã vi phạm các quy định yêu cầu cách công ty bảo vệ chống lại lỗi kế toán. Thẩm phán tuyên bố rằng các biện pháp kiểm soát an ninh mạng không phải là một phần của quá trình này. "Cách diễn giải này không thể chấp nhận được," thẩm phán viết và nói rằng các biện pháp kiểm soát chỉ áp dụng rõ ràng cho kế toán tài chính.

Tôi nghĩ điều này có thể mang lại chút an tâm cho một số phòng ban tuân thủ liên quan đến các thông số của nghĩa vụ công bố," Shargel nói.

SolarWinds cáo buộc cơ quan này trong một phản hồi trước đó về vụ kiện rằng họ muốn mở rộng phạm vi ảnh hưởng của quy định trong lĩnh vực an ninh mạng.