“Alasan SEC untuk menafsirkan undang-undang untuk mencakup secara luas semua sistem yang digunakan oleh perusahaan publik untuk melindungi aset berharga mereka akan menimbulkan konsekuensi yang menghancurkan,” tulis Engelmayer dalam artikelnya. Keputusan setebal 107 halaman.

“Hal ini akan memberikan wewenang kepada lembaga tersebut untuk mengatur pemeriksaan latar belakang yang digunakan untuk menyewa penjaga keamanan malam, mengambil kunci untuk brankas penyimpanan, langkah-langkah keamanan di taman air yang keandalannya bergantung pada aset itikad baik pelanggan, dan panjang serta konfigurasi kata sandi yang diperlukan untuk mengakses. komputer pribadi.” Perusahaan, tulisnya.

Seorang hakim federal di Manhattan juga menolak klaim SEC bahwa pengungkapan SolarWinds setelah mengetahui bahwa pelanggannya terpengaruh secara tidak patut menutupi keseriusan peretasan tersebut, karena agen intelijen Rusia dituduh menambang perangkat lunak SolarWinds selama lebih dari setahun untuk mendapatkan akses ke beberapa lembaga federal dan perusahaan teknologi besar. Pihak berwenang AS menggambarkan operasi tersebut, yang terungkap pada Desember 2020, sebagai salah satu operasi paling berbahaya dalam beberapa tahun terakhir, dan dampaknya masih terasa bagi pemerintah dan industri.

Di era ketika kampanye peretasan yang merusak sudah menjadi hal biasa, tuntutan hukum ini telah membuat khawatir para pemimpin bisnis, beberapa pejabat keamanan dan bahkan mantan pejabat pemerintah, seperti yang diungkapkan dalam laporan amicus curiae yang mendesak pembubarannya. Mereka mengklaim bahwa menambah tanggung jawab atas pernyataan palsu akan membuat korban peretasan enggan membagikan apa yang mereka ketahui kepada pelanggan, investor, dan otoritas keamanan.

Solarwinds yang berbasis di Austin mengatakan pihaknya senang bahwa hakim “secara substansial mengabulkan mosi kami untuk menolak klaim SEC,” ​​menambahkan dalam sebuah pernyataan bahwa mereka “berterima kasih atas dukungan yang kami terima sejauh ini di seluruh industri, dari pelanggan kami, dari para profesional keamanan siber, “Dan di antara para pejabat veteran pemerintah yang menyuarakan keprihatinan kami.”

Komisi Sekuritas dan Bursa tidak menanggapi permintaan komentar.

Engelmeier tidak mengabaikan kasus ini sepenuhnya, membiarkan SEC mencoba membuktikan bahwa SolarWinds dan pejabat keamanan utamanya, Timothy Brown, melakukan penipuan sekuritas dengan tidak memperingatkan dalam “pernyataan keamanan” publik sebelum peretasan bahwa mereka mengetahui bahwa hal itu sangat rentan terhadap serangan.

“SEC menuduh Solarwinds dan Brown terus-menerus memberikan informasi menyesatkan dalam pernyataan keamanan, banyak di antaranya merupakan kebohongan, tentang kecukupan kontrol akses mereka,” tulis Engelmayer dalam suratnya Yang paling penting, kesalahan informasi ini tidak diragukan lagi bersifat material.”

Hakim memuji SEC karena mendukung argumen tersebut dengan penyelidikan yang menghasilkan surat dan presentasi internal yang mengkritik kontrol akses perusahaan, kebijakan kata sandi, dan terbatasnya kemampuan untuk memantau jaringannya.

Pada tahun 2019, seorang peneliti keamanan eksternal memberi tahu perusahaan bahwa kata sandi untuk server yang digunakan untuk mengirim pembaruan perangkat lunak telah terungkap: itu adalah “solarwinds 123.”

Setahun sebelumnya, seorang insinyur memperingatkan dalam presentasi internal bahwa peretas mungkin menggunakan jaringan pribadi virtual perusahaan dari perangkat yang tidak sah dan mengunggah kode berbahaya. Hakim menulis bahwa Brown tidak menyampaikan informasi ini kepada eksekutif senior, dan para peretas kemudian menggunakan teknik yang sama.