SolarWinds califica los cargos de la SEC como "infundados" e "inexplicables"
La presentación judicial de SolarWinds exige que se retiren los cargos de la SEC por falta de fundamento, pruebas materiales o alcance de la acusación.
En una moción de desestimación presentada ante el Tribunal Distrito Sur de Nueva York de Estados Unidos, SolarWinds ha emitido una negativa total a cualquier mal de manejo interno durante el ciberataque de 2020, impugnando una demanda de la Comisión de Bolsa y Valores de Estados Unidos (SEC) de octubre de 2023 en su contra por “divulgación insuficiente”.
La presentación busca que se desestimen todos los cargos contra la compañía y su CISO, Timothy G. Brown, que incluyen engañar a los inversores al no revelar “riesgos conocidos”, violar las reglas sobre controles de divulgación y tergiversar las medidas de ciberseguridad. “El caso es fundamentalmente defectuoso y debe ser desestimado en su totalidad”, ha señalado la empresa.
SolarWinds ha dicho que había revelado el ataque de manera rápida y transparente y continuó informando a los inversores a medida que avanzaba la investigación. Además, sostienes que las acusaciones son erróneas y están fuera de su área de especialización, calificándolas de truco para establecer un mandato de normas de seguridad que actualmente no tiene.
“La SEC no identifica ningún control de divulgación que haya sido diseñado de manera irrazonable. Y su teoría de las violaciones de los controles contables internos equivale a una reestructuración total de la ley. La agencia busca convertir el concepto de controles contables en un mandato amplio para regular los controles de ciberseguridad de las empresas públicas, una función para la cual la SEC carece de autorización del Congreso”, dice el documento.
Además de carecer de “pruebas materiales” para sus afirmaciones de fraude, los cargos de violación de divulgación presentados por la SEC en la presentación de octubre eran poco realistas e ilegales, según SolarWinds. La empresa añadió que había advertido a sus partes interesadas que sus sistemas eran "vulnerables a actores estatales-nación sofisticados".
"La SEC se queja de que estas divulgaciones fueron insuficientes, afirmando que las empresas deben revelar información detallada sobre vulnerabilidad en sus presentaciones ante la SEC", agrega el documento. "Pero esa no es la ley, y por una buena razón: revelar tales detalles sería inútil para los inversores, poco práctico para las empresas y perjudicial para ambas, al proporcionar hojas de ruta para los atacantes".
Responsabilidades del CISO en foco
El caso ha sido seguido de cerca dentro de la industria, ya que se espera que siente muchos precedentes. Esta es la primera vez que se nombra a un CISO de una empresa en los cargos de la SEC por no divulgación. Los procedimientos abrirán el papel del CISO a un escrutinio y responsabilidades adicionales.
"SolarWinds, como se esperaba, defiende esto diciendo que informaron adecuadamente a los inversores", dijo Pareekh Jain, analista jefe de Pareekh Consulting. “La pregunta es: ¿fue dicha divulgación suficiente o deberían haber hecho más? Este es el primer caso de su tipo en el que se está investigando la divulgación de seguridad cibernética a la SEC. La sentencia aquí actuará como principios rectores para los CISO para futuras divulgaciones de ciberseguridad a la SEC”.
Mientras Brown enfrenta cargos de la SEC basados ????en sus declaraciones públicas y su firma en documentos de seguridad internos que, según alega la agencia federal, ayudaron a engañar a los inversores, SolarWinds califica los cargos de “injustificados” e “inexplicables”.
"La SEC no logra articular ninguna teoría coherente sobre la responsabilidad por complicidad contra Brown", agrega el documento. "Brown es un profesional experimentado y muy respetado que simplemente hizo su trabajo durante los acontecimientos en cuestión (y lo hizo bien). Los cargos gratuitos de la SEC contra él deberían ser rechazados”.
Antes de esta moción oficial para desestimar los cargos de la SEC, el director ejecutivo de SolarWinds, Sudhakar Ramakrishna, había publicado las respuestas de la compañía el mismo día de la presentación de la SEC, calificando los cargos de "equivocados" y representativos de un "conjunto regresivo de puntos de vista y acciones" inconsistentes con la avances que la industria necesita lograr.
