En el litigio entre Solarwinds y la SEC sobre El ciberataque de 2020La empresa ha negado las acusaciones de mala gestión interna de la SEC, según una moción de desestimación presentada ante el Tribunal de Distrito de Estados Unidos para el Distrito Sur de Nueva York. La empresa está impugnando la demanda de octubre de 2023 de la SEC por "divulgación insuficiente". En su moción, Solarwinds busca desestimar todos los cargos en su contra, incluido su CISO, Timothy G. Brown.

La SEC alega que engañaron a los inversores al no revelar los “riesgos conocidos”, violaron las normas de control de divulgación y tergiversaron las medidas de ciberseguridad de la empresa durante y antes del ataque de ciberespionaje respaldado por Rusia. “La SEC busca victimizar a la víctima presentando cargos de fraude de seguridad y control contra la empresa y su CISO, Tim Brown”, dijo Solarwinds en la presentación judicial. “El caso es fundamentalmente defectuoso y debe ser desestimado en su totalidad”, agregó la firma, calificando los cargos de “totalmente infundados” y agregando que “informó a los inversores de manera rápida y transparente sobre el ataque a medida que avanzaba su investigación”.

Índice
  1. Acusaciones inexplicables, según Solarwinds
  2. Las responsabilidades del CISO en el punto de mira

Acusaciones inexplicables, según Solarwinds

En su moción, el especialista en gestión de TI sostiene que las acusaciones de la SEC son erróneas y están fuera de su ámbito de competencia. Cree que son una estratagema del regulador para crear un mandato para regulaciones de seguridad que actualmente no existen. “Con respecto a las acusaciones de controles, la SEC no identifica controles de divulgación que habría sido irrazonable crear”, dijo Solarwinds. “Y su teoría de violaciones de 'controles internos' equivale a una reescritura completa de la ley. La agencia busca transformar el concepto de responsabilidad de controles internos en un mandato amplio para regular los controles de ciberseguridad de las empresas públicas, un papel para el que la SEC carece de autorización o experiencia del Congreso”, agrega la denuncia.

La empresa también afirma que “además de la falta de ‘pruebas materiales’ para respaldar sus acusaciones de fraude, las acusaciones de la SEC sobre incumplimiento de la obligación de divulgación en su presentación de octubre eran poco realistas e ilegales”. La empresa añade que había advertido a sus accionistas de que sus sistemas eran “vulnerables a actores sofisticados de los estados-nación”. “La SEC se queja de que esta información es insuficiente y afirma que las empresas deben divulgar información detallada sobre las vulnerabilidades en sus notificaciones”, continúa SolarWinds en su denuncia. “Pero esa no es la ley, y por una buena razón: publicar esos detalles sería inútil para los inversores, inconveniente para las empresas y perjudicial para ambos porque revelaría hojas de ruta a los atacantes”.

Las responsabilidades del CISO en el punto de mira

El caso ha sido seguido de cerca por la industria, ya que se espera que siente muchos precedentes, particularmente en Responsabilidad del CISO. Esta es la primera vez que un CISO corporativo ha sido nombrado en cargos de la SEC por no divulgación. Se espera que los procedimientos permitan al CISO enfrentar un mayor escrutinio y asumir nuevas responsabilidades. “No es sorprendente que Solarwinds se defienda diciendo que notificó adecuadamente a los inversores”, dijo Pareekh Jain, analista principal de Pareekh Consulting. “La pregunta es si esa divulgación fue suficiente o si se debería haber hecho más. Esta es la primera vez que se lleva a cabo una investigación sobre la divulgación de información de ciberseguridad a la SEC. La sentencia en este caso servirá como principio rector para los CISO en futuras notificaciones de ciberseguridad al regulador”, agregó.

Mientras que la SEC acusa a Timothy G. Brown de hacer declaraciones públicas y firmar documentos internos de valores que, según la agencia federal, ayudaron a engañar a los inversores, Solarwinds califica las acusaciones de “injustificadas” e “inexplicables”. “La SEC no logra articular una teoría coherente de complicidad contra el Sr. Brown”, añade el documento. Se trata de “un profesional experimentado y respetado que simplemente estaba haciendo su trabajo durante los hechos en cuestión (y lo estaba haciendo bien). Las acusaciones gratuitas de la SEC contra él deberían ser desestimadas”. Antes de la solicitud formal de la SEC de desestimar los cargos, el director ejecutivo de Solarwinds, Sudhakar Ramakrishna, publicó las respuestas de la empresa el mismo día que el documento de la SEC, calificando las acusaciones de “equivocadas” y representativas de un “conjunto regresivo de puntos de vista y acciones” que son incompatibles con la forma en que la industria necesita avanzar.