בהחלטה בת 107 עמודים, דחה שופט בית המשפט המחוזי במנהטן את כל טענות הרשות לניירות ערך בארה"ב (SEC) נגד SolarWinds וקצין אבטחת המידע שלה בעקבות מתקפת הסייבר שחוותה. SolarWinds היא חברת תוכנה אמריקאית, הנסחרת בבורסה בניו-יורק. מוצר הדגל שלה, Orion, הפרוש בעשרות אלפי חברות וארגונים, היה נושא למתקפת סייבר שאיפשרה חדירה למשתמשיו. ה-SEC תבעה את החברה בעקבות הצהרותיה לפני ואחרי המתקפה. בית המשפט דחה את רוב הטענות ביחס למצגי החברה לפני המתקפה, למעט טענות בהונאה בהתייחסות לאבטחה באתר SolarWinds.

זו היתה הפעם הראשונה שרשות ני"ע האמריקאית תבעה חברה בעקבות אירוע סייבר, במקום להגיע איתה להסדר פשרה. ה-SEC טענה ש-SolarWinds הסתירה ממשקיעים את חולשות מערכת אבטחת הסייבר של מוצריה, המעיטה בחומרת המתקפה לאחר שהתרחשה והסתירה מידע שלפיו לקוחות הזהירו אותה מפני פעילות חשודה הקשורה ל-Orion. בית המשפט קבע שהחוקים נגד הונאה בארה"ב אינם מחייבים חברות לפרט ביתר שאת את חולשות מערכת אבטחת הסייבר במוצריהן (מהלך שעלול להוביל לניצול נוסף של פרצות אבטחה). כמו כן, קבע כי SolarWinds כבר הצהירה בפני משקיעה שלא תוכל למנוע כל מתקפת סייבר, והיא אינה מחויבת לחשוף אירועי אבטחה בודדים.

התקיפה נעשתה באמצעות פריצה ל-Orion והשתלטות על מערכות של כ-18,000 ארגונים, לרבות Microsoft וסוכניות ממשל מרכזיות בארה"ב. היא הגיעה למערכות מרכזיות בפנטגון ובמשרד האנרגיה האמריקאי. ארה״ב הטילה סנקציות על רוסיה בתגובה למתקפת הסייבר והאשימה אותה בפריצה ל-SolarWinds. פסק הדין לא הושפע מהכללים החדשים של ה-SEC המחייבים חברות ציבוריות בגילויים מוגברים בנושאי אבטחת סייבר וסיכוני סייבר, שנכנסו לתוקף לאחר המקרה. במסגרת הכללים החדשים, חברות ציבוריות נדרשות לפרסם דו"חות מיידיים על סיכוני סייבר מהותיים באירועי אבטחת מידע שמתרחשים אצלן, ולפרסם בדו"חות התקופתיים גילויים על ניהול סיכוני אבטחת סייבר, האסטרטגיה שהן נוקטות בנושא זה ומנגנוני הממשל התאגידי שהן מיישמות בעניין. מקור: רויטרס (מאת: יונתן סטמפל).