SolarWinds’e karşı dava, halka açık şirketleri düzenleme yetkisini geniş bir şekilde yorumlayan bir devlet kurumu olan Menkul Kıymetler ve Borsa Komisyonu (SEC) tarafından açıldı. Mahkeme, SEC’in bu yetkiyi temel açılardan kullanmasına katılmadı ve SolarWinds’in basın bültenleri, blog gönderileri, podcast’leri ve bazı SEC dosyalarındaki ifadelerin şirketin siber güvenlik risklerini ve kontrollerini yanlış temsil ettiği yönündeki iddiaları reddetti.
Mahkemenin kararının en dikkat çekici ve muhtemelen temyiz edilecek kısmı, SEC’in bir şirketin güvenlik esnekliğini (şirketin açıklamalarından farklı olarak) düzenlemeye yönelik yasal yetkiye sahip olmamasıdır. Mahkemeye göre, SEC’in bir şirketin iç muhasebe kontrolleri üzerindeki denetimi siber güvenlik uygulamalarını kapsamıyor. Kararın temyizde onaylanması halinde, bu durum SEC’in icra yetkisinde önemli sınırlamalara yol açabilir.
Mahkeme, SolarWinds’in güvenlik açıklamasındaki erişim kontrolleri ve şifre uygulamalarına ilişkin açıklamalarının “geniş bir farkla” maddi olarak yanıltıcı olduğu iddiasıyla hükümetin tek bir iddiayla yargılamaya devam etmesine izin verdi.
İşte karardan bazı çıkarımlar:
- Şirketlerin hâlâ yeterli siber güvenlik direncine sahip programlar uygulaması gerekiyor. Bu mahkeme, SEC’in bu esnekliği düzenleme yetkisini reddetse de, SEC’in itirazı farklı bir sonuçla sonuçlanabilir ve yetersiz güvenlik kontrolleri, diğer düzenlemeler kapsamında yasal işlem yapılmasına yol açabilir.
- Mahkemeye çıkacak iddia, dahili ekibin güvenlik dayanıklılıklarını tanımlama şekli ile yatırımcıların makul olarak güvendiği güven veya güvenlik beyanları gibi kamuya açık beyanlar arasındaki iddia edilen tutarsızlıkların bir sonucudur. Hükümet, kamuya yapılan açıklamaların bir şirketin gerçek güvenlik duruşunu yanlış yansıttığına inanırsa yaptırım uygulayabilir.
- Mahkeme birçok suçlamayı reddetse de, SEC’in kamu şirketlerinin maddi siber güvenlik olaylarının yanı sıra maddi güvenlik yönetişimi ve strateji bilgilerini açıklaması yönündeki gereklilikleri hâlâ yürürlükte. Şirketler, önemliliğin değerlendirilmesi ve siber güvenlikle ilgili önemli bilgilerin yatırımcılara açıklanması için süreçlerin mevcut olduğundan emin olmaya devam etmelidir.
Hükümet, yeterli güvenlik kontrollerini ne kadar agresif bir şekilde araştırmayı ve uygulamayı planlıyor olursa olsun, şirketler siber güvenlik tehditlerini yönetmekten ve riskleri proaktif olarak azaltmaktan her zaman faydalanacaktır.