Solarwinds aleyhindeki dava, kamuya açık şirketleri düzenlemek için yetkisini geniş ölçüde yorumlayan bir devlet kurumu olan Menkul Kıymetler ve Borsa Komisyonu (SEC) tarafından açıldı. Mahkeme, SEC’in bu otoriteyi kilit açılardan kullanmasını kabul etmedi ve Solarwinds’in basın bültenlerindeki açıklamaların, blog yayınları, podcast’ler ve bazı SEC dosyalarındaki ifadelerin, şirketin siber güvenlik risklerini ve kontrollerini yanlış tanıttığı iddialarını reddetti.
Mahkemenin kararının en dikkat çekici kısmı ve temyiz edilmesi muhtemel bir kısmı, SEC’in bir şirketin güvenlik esnekliğini (şirketin açıklamalarından farklı olarak) düzenleme konusunda yasal yetkiye sahip olmamasıdır. SEC’in bir şirketin iç muhasebe kontrollerini gözetmesi, mahkemenin görüşüne göre, siber güvenlik uygulamalarına kadar uzanmaz. Karar temyizde onaylanırsa, SEC’in icra yetkisi için önemli sınırlara neden olabilir.
Mahkeme, hükümetin tek bir iddiada yargılanmasına izin verdi, Solarwinds’in güvenlik beyanında erişim kontrolleri ve şifre uygulamaları hakkındaki ifadelerinin “geniş bir marj” ile önemli ölçüde yanıltıcı olduğu iddiası.
İşte karardan başka çıkarımlar:
- Şirketlerin hala yeterli siber güvenlik esnekliği olan programları uygulamaları gerekmektedir. Bu Mahkeme SEC’in bu esnekliği düzenleme yetkisini reddetse de, SEC’in muhtemelen temyizi farklı bir sonuçla sonuçlanabilir ve yetersiz güvenlik kontrolleri diğer düzenlemeler altında yasal işlemlere yol açabilir.
- Yargılamaya gidecek iddia, dahili ekibin güvenlik esnekliğini nasıl tanımladığı iddiasıyla ilgili tutarsızlıklar ile yatırımcıların güven veya güvenlik beyanları gibi makul olarak güvendiği kamu beyanları arasındaki tutarsızlıkların bir sonucudur. Hükümet, kamu beyanlarının bir şirketin gerçek güvenlik duruşunu yanlış tanıttığına inanırlarsa icra eylemleri getirebilir.
- Mahkeme birçok suçlamayı reddetmesine rağmen, SEC’in kamu şirketlerinin maddi siber güvenlik olaylarının yanı sıra maddi güvenlik yönetişimi ve strateji bilgilerini açıkladığı gereklilikleri yerinde kalır. Şirketler, önemliliği değerlendirmek ve siber güvenlik ile ilgili maddi bilgileri yatırımcılara açıklamak için süreçlere sahip olmalarını sağlamaya devam etmelidir.
Hükümet yeterli güvenlik kontrollerini ne kadar agresif bir şekilde araştırmayı ve uygulamak istese de, şirketler her zaman siber güvenlik tehditlerini yönetmekten ve proaktif olarak riski azaltmaktan faydalanacaktır.