Um juiz rejeitou uma parte importante da litigação da Comissão de Valores Mobiliários (SEC) contra a SolarWinds e seu diretor de segurança da informação, Tim Brown, decidindo que eles não podem ser responsabilizados por declarações e arquivos feitos após o ataque ao produto principal da empresa, o Orion.
No entanto, a SEC pode prosseguir com sua acusação contra a SolarWinds e Brown por representações feitas sobre a postura de segurança cibernética da empresa antes do ciberataque, de acordo com a decisão do Juiz da Corte Distrital dos EUA, Paul A. Engelmayer, divulgada em 18 de julho. Os documentos do tribunal se referem ao incidente cibernético como “Sunburst”.
A decisão é uma resposta ao pedido da SolarWinds para arquivar o processo da SEC apresentado em janeiro deste ano.
Especialistas jurídicos e de cibersegurança afirmam que a decisão é um passo positivo para fornecer orientação a outras empresas de capital aberto sobre como lidar com regulamentos de divulgação de incidentes de segurança cibernética.
“Para as empresas públicas que estão correndo para investigar um incidente e fazer uma divulgação de materialidade, a opinião do tribunal permite que a totalidade da divulgação prevaleça sobre os detalhes minuciosos”, diz a advogada de cibersegurança Beth Burgin Waller, da Woods, Rogers, Vandeventer, Black PLC. “Essa decisão valida o compartilhamento de informações da SolarWinds com a comunidade de cibersegurança após o incidente”.
Embora a decisão remova muitas das acusações contra a SolarWinds e Brown, a SEC poderá seguir com ações por declarações e outras reivindicações feitas sobre a postura de segurança cibernética da empresa antes da comprometimento. As divulgações e declarações feitas sobre a postura de segurança da empresa antes do ataque são consideradas “materialmente falsas e enganosas em vários aspectos”, escreveu o juiz.
Após ingressar na SolarWinds em 2017, Brown destacou internamente as deficiências nas defesas da empresa enquanto fazia avaliações mais otimistas para os clientes, explicou a decisão. Notavelmente, a “Declaração de Segurança” da SolarWinds afirmava falsamente a conformidade com o Framework de Cibersegurança do Instituto Nacional de Padrões e Tecnologia (NIST).
Um porta-voz da SolarWinds afirmou que a empresa ficou “satisfeita” com a decisão em comunicado.
“Estamos ansiosos pela próxima etapa, onde teremos a oportunidade, pela primeira vez, de apresentar nossas próprias evidências e demonstrar por que a alegação restante é factualmente imprecisa”, disse o comunicado. “Também somos gratos pelo apoio que recebemos até agora em toda a indústria, de nossos clientes, de profissionais de cibersegurança e de ex-funcionários do governo que ecoaram nossas preocupações, com as quais o tribunal concordou”.
Jessica Sica, CISO da Weave, foi especialmente encorajada pela decisão do tribunal de descartar evidências de comunicações internas entre os funcionários da SolarWinds.
“Internamente, você precisa poder discutir o estado da segurança – para melhor ou para pior – e não ter isso divulgado como se não estivesse fazendo seu trabalho”, diz Sica. “A manutenção dessa parte pela SEC poderia levar a mais empresas adotando uma espécie de política de ‘não pergunte, não diga’ em segurança, o que tornaria as coisas muito piores”.
A decisão do tribunal também ameniza algumas restrições aos CISOs, de acordo com Fred Kwong, Ph.D., vice-presidente e CISO da Universidade DeVry.
“Responsabilizar pessoalmente os CISOs, especialmente aqueles que não possuem posição no comitê executivo, é profundamente falho e poderia estabelecer um precedente que seria contraproducente e enfraqueceria a postura de segurança das organizações”, diz Kwong. “Embora ainda não estejamos livres, fico feliz em ver que o tribunal retirou a maioria das acusações, especialmente as pós-Sunburst”.
Independentemente do resultado final da ação da SEC contra a SolarWinds e Brown, Sica insta seus colegas CISOs a continuarem sendo transparentes.
“Acho que isso não muda o fato de que você precisa ser honesto sobre sua postura de segurança, e isso é algo bom”, diz Sica. “Se você está prometendo publicamente que está fazendo isso”.
