“La logica della SEC per interpretare la legge in modo da coprire ampiamente tutti i sistemi utilizzati dalle società pubbliche per proteggere i loro beni di valore avrebbe conseguenze disastrose”, ha scritto Engelmayer nel suo articolo. Una decisione lunga 107 pagine.
“Ciò darebbe all’agenzia l’autorità di regolamentare i controlli dei precedenti utilizzati per assumere guardie di sicurezza notturne, scassinare le serrature dei depositi, le misure di sicurezza nei parchi acquatici la cui affidabilità dipende dalle risorse in buona fede dei clienti, e la lunghezza e la configurazione delle password richieste per accedere computer privati.” L’azienda”, ha scritto.
Un giudice federale di Manhattan ha inoltre respinto le affermazioni della SEC secondo cui le rivelazioni di SolarWinds dopo aver appreso che i suoi clienti erano stati colpiti avrebbero indebitamente nascosto la gravità dell’hacking, poiché gli agenti dell’intelligence russa sono accusati di aver estratto il software di SolarWinds per più di un anno per ottenere l’accesso a diverse agenzie federali e le principali aziende tecnologiche. Le autorità statunitensi hanno descritto l’operazione, rivelata nel dicembre 2020, come una delle operazioni più pericolose degli ultimi anni, le cui conseguenze si fanno ancora sentire sul governo e sull’industria.
In un’epoca in cui le campagne di hacking distruttive sono diventate un luogo comune, la causa ha allarmato leader aziendali, alcuni funzionari della sicurezza e persino ex funzionari governativi, come espresso nelle memorie dell’amicus curiae che ne sollecitavano il licenziamento. Hanno affermato che l’aggiunta della responsabilità per false dichiarazioni scoraggerebbe le vittime di hacking dal condividere ciò che sanno con clienti, investitori e autorità preposte alla sicurezza.
Solarwinds, con sede ad Austin, si è detta lieta che il giudice “abbia sostanzialmente accolto la nostra mozione di respingere le affermazioni della SEC”, aggiungendo in una dichiarazione che è “grata per il supporto che abbiamo ricevuto finora in tutto il settore, dai nostri clienti, da professionisti della sicurezza informatica, “E tra i funzionari governativi veterani che hanno fatto eco alle nostre preoccupazioni”.
La Securities and Exchange Commission non ha risposto a una richiesta di commento.
Engelmeier non ha archiviato del tutto il caso, consentendo alla SEC di provare a dimostrare che SolarWinds e il suo massimo funzionario della sicurezza, Timothy Brown, hanno commesso una frode sui titoli non avvertendo in una “dichiarazione di sicurezza” pubblica prima dell’hack di sapere di essere altamente vulnerabile a attacchi.
“La SEC sostiene che Solarwinds e Brown hanno fornito informazioni fuorvianti nella dichiarazione di sicurezza, molte delle quali equivalgono a vere e proprie bugie, sull’adeguatezza dei loro controlli di accesso”, ha scritto Engelmayer nella sua lettera “Per i clienti per i quali la sicurezza informatica è importante massima importanza, questa disinformazione era senza dubbio materiale.”
Il giudice ha elogiato la SEC per aver sostenuto tale tesi con un’indagine che ha prodotto lettere interne e presentazioni che criticavano i controlli di accesso dell’azienda, le politiche sulle password e la capacità limitata di monitorare le sue reti.
Nel 2019, un ricercatore di sicurezza esterno ha informato l’azienda che era stata scoperta la password di un server utilizzato per inviare aggiornamenti software: si trattava di “solarwinds 123”.
Un anno prima, in una presentazione interna, un ingegnere aveva avvertito che un hacker avrebbe potuto utilizzare la rete privata virtuale dell’azienda da un dispositivo non autorizzato e caricare codice dannoso. Il giudice ha scritto che Brown non ha passato queste informazioni ai dirigenti senior e che gli hacker hanno successivamente utilizzato la stessa tecnica.
