SolarWinds wins partial dismissal in SEC fraud case

• Un juez estadounidense desestimó la mayor parte de la demanda de la SEC contra SolarWinds, dictaminando que las reclamaciones se basaban en “retrospectiva y especulación”.
• La SEC acusó a SolarWinds de ocultar la vulnerabilidad y la gravedad del ataque, ignorando la complejidad de la ciberseguridad y mostrando un sesgo retrospectivo.

NUESTRA OPINIÓN
La acción de la SEC ignora las complejidades de la ciberseguridad, exigiendo que SolarWinds divulgue cada incidente, lo que equivaldría a ayudar a los hackers. Las empresas deben lograr un equilibrio entre transparencia y seguridad, y la postura de la SEC altera este equilibrio. Lo que la SEC debería hacer es centrarse en promover prácticas de ciberseguridad en lugar de castigar a las víctimas de ciberataques.
–Ashley Wang, reportera de BTW Ver también: La FCC respalda a los constructores de fibra con límites de permisos.

Qué sucedió

Un juez estadounidense ha desestimado la mayoría de una demanda de la Comisión de Bolsa y Valores (SEC) contra la empresa de software SolarWinds, acusada de defraudar a los inversores al ocultar sus debilidades de seguridad antes y después de un ciberataque vinculado a Rusia.

El ciberataque, conocido como Sunburst, tuvo como objetivo la plataforma de software Orion de SolarWinds, infiltrándose en varias redes del gobierno estadounidense, incluidas las de los Departamentos de Comercio, Energía, Seguridad Nacional, Estado y Tesoro. Divulgado en diciembre de 2020, las consecuencias completas del ataque aún no están claras, aunque el gobierno de EE. UU. lo atribuye a Rusia, lo que Rusia negó en ese momento.

El juez de distrito de EE. UU. Paul Engelmayer, en Manhattan, desestimó todas las reclamaciones contra SolarWinds y Timothy Brown, su director de seguridad de la información, sobre las declaraciones realizadas después del ataque. Dictaminó que estas reclamaciones se basaban en “retrospectiva y especulación”. En su decisión de 107 páginas, el juez también desestimó la mayoría de las reclamaciones de la SEC con respecto a las declaraciones realizadas antes del ataque, excepto las reclamaciones de fraude de valores relacionadas con una declaración en el sitio web de SolarWinds sobre los controles de seguridad de la empresa. SolarWinds expresó su satisfacción con la decisión, calificando la reclamación restante contra la empresa como “inexacta en cuanto a los hechos”. Ver también: Ofcom expone la brecha de cobertura móvil en los trenes del Reino Unido.

Leer también: Amenazas de ciberseguridad: Las sombrías realidades del espionaje digital

Leer también: Tres capas de seguridad requeridas por las plataformas IoT

Por qué es importante

El caso de la SEC, presentado en octubre pasado, marcó la primera vez que el regulador apuntaba a una empresa víctima de un ciberataque sin anunciar un acuerdo simultáneo. También es poco común que la SEC demande a ejecutivos que no están estrechamente involucrados en la preparación de estados financieros. La SEC alegó que SolarWinds minimizó sus vulnerabilidades de ciberseguridad y la gravedad del ataque, y ocultó las advertencias de los clientes sobre la actividad maliciosa de Orion. Ver también: Robert Neuwirth.

Sin embargo, la acción de la SEC ignora la compleja realidad de la ciberseguridad. Esperar que SolarWinds divulgue cada incidente y vulnerabilidad individual sería peligroso, ya que expondría a la empresa a los hackers. Las empresas deben equilibrar la transparencia con la seguridad, y la postura de la SEC altera este delicado equilibrio. Ver también: La UE reescribe las reglas de soberanía de la infraestructura de IA.

SolarWinds reconoció el riesgo generalizado de los ciberataques, lo que es una admisión honesta en el panorama digital actual. Castigarlos por ser víctimas de una embestida cibernética solo disuade a otras empresas de tal transparencia. La SEC debe recalibrar su estrategia, centrándose en fomentar prácticas sólidas de ciberseguridad en lugar de convertir en chivos expiatorios a las empresas atrapadas en el fuego cruzado de la guerra cibernética global. Ver también: La UE expulsa a los operadores satelitales estadounidenses del espectro.