Un juez desestimó gran parte del litigio de la Comisión de Bolsa y Valores (SEC) contra SolarWinds y su director de seguridad de la información (CISO), Tim Brown, y dictaminó que no pueden ser considerados responsables de las declaraciones y presentaciones realizadas después de que el producto estrella de la compañía, Orion, fuera violado.
Sin embargo, la SEC puede continuar su cargo contra SolarWinds y Brown por declaraciones falsas sobre la postura de ciberseguridad de la empresa antes del ciberataque, según el fallo del juez de distrito estadounidense Paul A. Engelmayer del 18 de julio. Los documentos judiciales se refieren al incidente cibernético como «Sunburst».
La decisión es una respuesta a la denuncia de SolarWinds. moción para desestimar la demanda de la SEC presentada en enero de este año.
El intercambio de información de SolarWinds está ‘justificado’
Los expertos legales y en ciberseguridad creen que la medida es un paso positivo para brindar orientación a otras empresas que cotizan en bolsa sobre cómo gestionar las regulaciones relativas a la divulgación de incidentes de ciberseguridad.
«Para las empresas públicas que se apresuran a investigar un incidente y revelar la importancia del incidente, la opinión del tribunal permite que la totalidad de la divulgación prevalezca sobre los detalles», explica la abogada de ciberseguridad Beth Burgin Waller de Woods, Rogers, Vandeventer, PLC negro. “Esta decisión reivindica el intercambio de información de SolarWinds con la comunidad de ciberseguridad después del incidente. »
Aunque la decisión elimina a muchos acusaciones contra SolarWinds y BrownLa SEC estará autorizada a emprender acciones legales por declaraciones y otras acusaciones hechas sobre la postura de ciberseguridad de la empresa antes de que se viera comprometida. Las divulgaciones y declaraciones hechas sobre la postura de seguridad de la empresa antes de la infracción «se consideran válidamente materialmente falsas y engañosas en numerosos aspectos», escribió el juez.
Después de unirse a SolarWinds en 2017, Brown destacó internamente las lagunas en las defensas de la empresa y al mismo tiempo ofreció evaluaciones más optimistas a los clientes, explica el fallo. En particular, la «declaración de seguridad» de SolarWinds afirmó falsamente el cumplimiento del marco de ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST).
Un portavoz de SolarWinds dijo en un comunicado que la empresa estaba «satisfecha» con la decisión.
«Esperamos con interés el siguiente paso, donde tendremos la oportunidad por primera vez de presentar nuestras propias pruebas y demostrar por qué la denuncia restante es objetivamente inexacta», dice el comunicado. “También estamos agradecidos por el apoyo que hemos recibido hasta ahora en toda la industria, de nuestros clientes, profesionales de ciberseguridad y altos funcionarios gubernamentales que se han hecho eco de nuestras preocupaciones, con quienes el tribunal estuvo de acuerdo. »
Las posiciones del CISO
Jessica Sica, CISO de Weave, se sintió especialmente alentada por la decisión del tribunal de rechazar pruebas de comunicaciones internas entre empleados de SolarWinds.
“Internamente, es necesario poder discutir el estado de la seguridad (para bien o para mal) y no dejar pasar esta información como si no estuviera haciendo su trabajo”, explica Sica. «El hecho de que la SEC mantuviera esta parte podría haber provocado que más empresas adoptaran una especie de política de seguridad de ‘no preguntar, no decir’, lo que habría empeorado la situación. »
La decisión del tribunal también alivia algunas limitaciones de los CISO, según Fred Kwong, Ph.D., vicepresidente y CISO de la Universidad DeVry.
“Hacer responsables personalmente a los CISO, especialmente a aquellos que no ocupan un puesto en el comité ejecutivo, es un error fundamental que habría sentado un precedente contraproducente y debilitado la seguridad de las organizaciones”, dice Kwong. “Aunque todavía no estoy fuera de peligro, me alegra ver que el tribunal ha desestimado la mayoría de los cargos, especialmente los que siguieron al caso Sunburst. »
Independientemente del resultado final de la acción de la SEC contra SolarWinds y Brown, Sica insta a sus compañeros CISO a seguir siendo transparentes.
«Creo que eso no cambia el hecho de que hay que ser honesto acerca de su política de seguridad, y eso es algo bueno», dice Sica. “Si prometes públicamente que lo harás. »