El juez del caso SolarWinds rechaza la supervisión de los controles de ciberseguridad de la SEC

«El razonamiento de la SEC para interpretar la ley de manera que cubra ampliamente todos los sistemas utilizados por las empresas públicas para proteger sus valiosos activos tendría consecuencias desastrosas», escribió Engelmayer en su artículo. Una decisión de 107 páginas.

“Esto le daría a la agencia la autoridad para regular las verificaciones de antecedentes utilizadas para contratar guardias de seguridad nocturnos, abrir cerraduras para bóvedas de almacenamiento, medidas de seguridad en parques acuáticos cuya confiabilidad depende de los activos de buena fe de los clientes y las longitudes y configuraciones de las contraseñas requeridas para acceder. computadoras privadas”. La empresa”, escribió.

Un juez federal en Manhattan también rechazó las afirmaciones de la SEC de que las revelaciones de SolarWinds después de enterarse de que sus clientes se vieron afectados encubrieron indebidamente la gravedad del ataque, ya que los agentes de inteligencia rusos están acusados ​​de minar el software de SolarWinds durante más de un año para obtener acceso a varios agencias federales y grandes empresas de tecnología. Las autoridades estadounidenses describieron la operación, que fue revelada en diciembre de 2020, como una de las más peligrosas de los últimos años, y sus consecuencias aún se sienten para el gobierno y la industria.

En una era en la que las campañas de piratería destructiva se han vuelto algo común, la demanda ha alarmado a líderes empresariales, algunos funcionarios de seguridad e incluso ex funcionarios gubernamentales, como se expresó en escritos amicus curiae instando a su desestimación. Afirmaron que agregar responsabilidad por declaraciones falsas disuadiría a las víctimas de piratería informática de compartir lo que saben con clientes, inversores y autoridades de seguridad.

SolarWinds, con sede en Austin, dijo que estaba complacido de que el juez «concediera en gran medida nuestra moción para desestimar los reclamos de la SEC», y agregó en un comunicado que estaba «agradecido por el apoyo que hemos recibido hasta ahora en toda la industria, de nuestros clientes, de los profesionales de la ciberseguridad, «y entre los funcionarios gubernamentales veteranos que se hicieron eco de nuestras preocupaciones».

La Comisión de Bolsa y Valores no respondió a una solicitud de comentarios.

Engelmeier no desestimó el caso por completo, lo que permitió a la SEC intentar demostrar que SolarWinds y su principal funcionario de seguridad, Timothy Brown, cometieron fraude de valores al no advertir en una “declaración de seguridad” pública antes del ataque que sabía que era altamente vulnerable a ataques.

«La SEC alega que Solarwinds y Brown proporcionaron información engañosa persistente en la declaración de seguridad, muchas de las cuales equivalen a mentiras descaradas, sobre la idoneidad de sus controles de acceso», escribió Engelmayer en su carta «Para los clientes para quienes la seguridad informática es fundamental». De suma importancia, esta desinformación era sin duda material».

El juez elogió a la SEC por respaldar ese argumento con una investigación que produjo cartas y presentaciones internas criticando los controles de acceso, las políticas de contraseñas y la capacidad limitada de la empresa para monitorear sus redes.

En 2019, un investigador de seguridad externo informó a la empresa que se había expuesto una contraseña de un servidor utilizado para enviar actualizaciones de software: era “solarwinds 123”.

Un año antes, un ingeniero advirtió en una presentación interna que un pirata informático podría utilizar la red privada virtual de la empresa desde un dispositivo no autorizado y cargar código malicioso. El juez escribió que Brown no pasó esta información a los altos ejecutivos y que los piratas informáticos utilizaron posteriormente la misma técnica.