«La agencia busca convertir el concepto de controles contables en un mandato amplio para regular los controles de ciberseguridad de las empresas públicas, una función para la cual la SEC carece de autorización del Congreso o experiencia sustancial», agrega el documento.
Además de carecer de “pruebas materiales” para sus afirmaciones de fraude, los cargos de violación de divulgación presentados por la SEC en la presentación de octubre eran poco realistas e ilegales, según SolarWinds. La empresa añadió que había advertido a sus partes interesadas que sus sistemas eran «vulnerables a actores estatales-nación sofisticados».
«La SEC se queja de que estas divulgaciones fueron insuficientes, afirmando que las empresas deben revelar información detallada sobre vulnerabilidad en sus presentaciones ante la SEC», agrega el documento. «Pero esa no es la ley, y por una buena razón: revelar tales detalles sería inútil para los inversores, poco práctico para las empresas y perjudicial para ambas, al proporcionar hojas de ruta para los atacantes».
Responsabilidades del CISO en foco
El caso ha sido seguido de cerca dentro de la industria, ya que se espera que siente muchos precedentes. Esta es la primera vez que se nombra a un CISO de una empresa en los cargos de la SEC por no divulgación. Los procedimientos abrirán el papel del CISO a un escrutinio y responsabilidades adicionales.
«SolarWinds, como se esperaba, defiende esto diciendo que informaron adecuadamente a los inversores», dijo Pareekh Jain, analista jefe de Pareekh Consulting. “La pregunta es: ¿fue dicha divulgación suficiente o deberían haber hecho más? Este es el primer caso de su tipo en el que se está investigando la divulgación de seguridad cibernética a la SEC. La sentencia aquí actuará como principios rectores para los CISO para futuras divulgaciones de ciberseguridad a la SEC”.
Mientras Brown enfrenta cargos de la SEC basados en sus declaraciones públicas y su firma en documentos de seguridad internos que, según alega la agencia federal, ayudaron a engañar a los inversores, SolarWinds califica los cargos de “injustificados” e “inexplicables”.