SolarWinds 사건의 판사는 사이버 보안 통제에 대한 SEC의 감독을 거부했습니다.

Engelmayer는 자신의 기사에서 “공개 기업이 귀중한 자산을 보호하기 위해 사용하는 모든 시스템을 광범위하게 포괄하도록 법을 해석하려는 SEC의 근거는 심각한 결과를 초래할 것입니다.”라고 썼습니다. 107페이지 분량의 결정.

“이로 인해 해당 기관은 야간 경비원을 고용하는 데 사용되는 신원 조사, 보관 금고의 자물쇠 선택, 고객의 선의의 자산에 따라 신뢰성이 좌우되는 워터파크의 안전 조치, 액세스하는 데 필요한 비밀번호의 길이 및 구성을 규제할 수 있는 권한을 갖게 됩니다. 개인 컴퓨터.”라고 그는 썼습니다.

맨해튼의 연방 판사는 또한 고객이 부적절하게 영향을 받았다는 사실을 알게 된 SolarWinds의 공개가 해킹의 심각성을 은폐했다는 SEC의 주장을 기각했습니다. 여러 연방 기관 및 주요 기술 회사. 미국 당국은 2020년 12월에 밝혀진 이 작전을 최근 몇 년간 가장 위험한 작전 중 하나로 묘사했으며, 그 결과는 여전히 정부와 업계에 느껴지고 있습니다.

파괴적인 해킹 캠페인이 일반화되는 시대에 이 소송은 비즈니스 리더, 일부 보안 관계자, 심지어 전직 정부 관료들까지 놀라게 했습니다. 그들은 허위 진술에 대한 책임을 추가하면 해킹 피해자가 자신이 알고 있는 정보를 고객, 투자자 및 안전 당국과 공유하는 것을 방해할 수 있다고 주장했습니다.

오스틴에 본사를 둔 SolarWinds는 판사가 “SEC의 주장을 기각하라는 우리의 동의를 실질적으로 승인했다”고 말하며 “지금까지 업계 전반, 고객, 기업으로부터 받은 지원에 감사드립니다”라고 덧붙였습니다. 사이버 보안 전문가, “그리고 우리의 우려를 반영한 ​​베테랑 정부 관료들 사이에서도요.”

증권거래위원회는 논평 요청에 응답하지 않았다.

Engelmeier는 사건을 완전히 기각하지 않았으며, SEC는 SolarWinds와 최고 보안 담당자인 Timothy Brown이 해킹이 발생하기 전에 공개 “보안 성명”에서 자신이 매우 취약하다는 것을 알고 있음을 경고하지 않음으로써 증권 사기를 저질렀다는 것을 입증하려고 시도할 수 있었습니다. 공격.

“SEC는 Solarwinds와 Brown이 보안 성명서에 액세스 제어의 적절성에 대해 계속적으로 잘못된 정보를 제공했다고 주장합니다.”라고 Engelmayer는 썼습니다. “컴퓨터 보안이 중요한 고객을 위한 것입니다. 가장 중요한 것은 이 잘못된 정보가 의심할 여지 없이 중요한 것이었습니다.”

판사는 회사의 액세스 제어, 비밀번호 정책 및 제한된 네트워크 모니터링 능력을 비판하는 내부 서한과 프레젠테이션을 작성한 조사를 통해 이러한 주장을 뒷받침한 SEC를 칭찬했습니다.

2019년에는 외부 보안 연구원이 소프트웨어 업데이트 전송에 사용되는 서버의 비밀번호가 ‘solarwinds 123’으로 노출됐다고 회사에 통보했습니다.

1년 전, 한 엔지니어는 내부 프레젠테이션에서 해커가 승인되지 않은 장치에서 회사의 가상 사설망을 사용하여 악성 코드를 업로드할 수 있다고 경고했습니다. 판사는 브라운이 이 정보를 고위 임원들에게 전달하지 않았으며 해커들이 나중에 동일한 기술을 사용했다고 썼습니다.