联邦法官周四驳回了政府对SolarWinds及其首席网络安全经理提起的一部分具有里程碑意义的诉讼，理由是该软件公司对2020年披露的安全漏洞的处理影响了包括美国政府机构在内的客户。

美国证券交易委员会起诉奥斯汀市的SolarWinds公司及其首席信息安全官蒂姆·布朗。

一些公司团体和前检察官批评SEC对被黑企业的执法行动，认为这会让攻击的受害者负责，这些攻击有时是由国家支持的行为者进行的。SEC则认为股东有权知道上市公司如何应对经常影响公司股价的攻击风险。

美国地方法官保罗·恩格尔梅尔（Paul Engelmayer）写道，美国证券交易委员会（SEC）声称SolarWinds没有向股东披露攻击的全部程度，这一说法是基于“事后回顾和推测”。然而，恩格尔梅尔法官因SolarWinds在攻击发生前关于其网络安全措施和风险的其他声明，允许该机构的诉讼继续进行。

美国随后指责俄罗斯受国家支持的黑客进行袭击。莫斯科否认任何参与。

SolarWinds发言人表示，公司对法官的决定感到满意。他说：“我们期待下一阶段，届时我们将首次有机会提交我们的证据，并证明剩余的指控在事实方面是不准确的。”

美国证券交易委员会拒绝置评。

SolarWinds事件非同寻常，因为它是针对一名高级网络安全经理。

网络安全专家、贸易协会和高管们表达了担忧，指出对布朗的起诉表明监管机构现在准备追究网络安全负责人。SEC的起诉紧随Uber Technologies前首席安全官约瑟夫·沙利文因在2016年公司数据泄露期间的行为被判刑后提出，这引发了类似的担忧。

戴维·沙格尔律师之家律所合伙人表示，美国证交会部分诉讼被驳回对SolarWinds来说是“全方位的胜利”。公司很少在诉讼初期就能赢得诉讼。

「這絕對是一項嚴重的指控，並且警示企業必須確保其公開聲明是準確和不具誤導性的。」他說。

自对SolarWinds提起诉讼以来，SEC的新规则已经生效，该规则规定了公司应该何时以及如何披露网络攻击。上市公司必须在确定攻击将对其业务产生重大影响后的四个工作日内，通过提交8-K表格向当局报告网络攻击。公司还必须在其年度报告中阐明其网络风险管理过程的要素。

值得注意的是，Engelmayer 还驳回了 SEC 的说法，即 SolarWinds 违反了公司如何防范会计错误的规定。法官解释说，网络安全控制不是这个过程的一部分。“这种解释是站不住脚的”，法官写道，并表示这些控制显然只适用于财务会计。

「我认为，这可能会在公开披露义务的参数方面给一些合规部门带来一些安全感」，沙格尔说。

SolarWinds hatte die Behörde in einer früheren Erwiderung auf die Klage beschuldigt, ihren regulatorischen Einflussbereich im Bereich Cyber erweitern zu wollen.
SolarWinds曾在对诉讼的早期回应中指责当局试图扩大其在网络领域的监管影响。