Una decisione che solleva SolarWinds e il suo dirigente dalle accuse di frode nelle comunicazioni sulla sicurezza del software Orion.
Un giudice federale statunitense ha respinto la maggior parte della causa intentata dalla Securities and Exchange Commission (SEC) contro SolarWinds e un membro della dirigenza per presunte comunicazioni fuorvianti agli investitori riguardanti la sicurezza del loro software Orion, sfruttato da hacker russi in una delle campagne di attacchi informatici più audaci mai avvenute.
Il giudice distrettuale Paul Engelmayer ha rigettato le accuse secondo cui SolarWinds non avrebbe adeguatamente divulgato l’attacco Sunburst, iniziato nel 2019 e scoperto nel 2020. Engelmayer ha dichiarato che le accuse non configurano in modo plausibile carenze sostanziali nella comunicazione dell’azienda circa la violazione della sicurezza informatica. Secondo il giudice, le accuse si baserebbero su congetture e analisi retrospettive.
Nonostante ciò, Engelmayer ha mantenuto in piedi le accuse di frode sui titoli legate a una dichiarazione pre-Sunburst sulla sicurezza del software Orion, ma ha respinto altre affermazioni della SEC su diverse dichiarazioni aziendali relative alla cybersecurity.
L’attacco SolarWinds ha permesso ai cybercriminali, che il governo degli Stati Uniti ritiene legati al governo russo, di infiltrarsi in almeno nove agenzie federali e centinaia di aziende.
La SEC aveva presentato la sua causa in ottobre contro SolarWinds e il suo ex Chief Information Security Officer, Tim Brown, inviando un messaggio che la commissione intendeva trattenere i dirigenti aziendali responsabili per carenze note nella sicurezza.
La sentenza di Engelmayer rappresenta una vittoria per molti operatori del settore che temevano che tali accuse potessero avere un effetto dissuasivo, scoraggiando le persone dal cercare vulnerabilità per evitare possibili conseguenze legali future.
SolarWinds non ha commentato immediatamente la sentenza e un portavoce della SEC ha declinato ogni commento.
Le implicazioni di questa decisione sono significative non solo per SolarWinds ma anche per l’intero settore della cyber security. La capacità delle aziende di comunicare trasparentemente le proprie pratiche di sicurezza senza timore di ritorsioni legali potrebbe subire un impatto notevole a seguito di questa sentenza.
Per leggere la sentenza completa, puoi cliccare qui.
Questa storia è stata aggiornata il 18 luglio 2024 con la risposta della SEC a una richiesta di commento.
Il post originale Il giudice respinge gran parte della causa SEC contro SolarWinds è apparso su CyberScoop.