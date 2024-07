Un giudice federale in un caso derivante da uno dei peggiori attacchi informatici conosciuti ha respinto un’offerta della Securities and Exchange Commission per supervisionare i controlli di sicurezza informatica delle aziende, alleviando i timori delle aziende di essere penalizzate dalle autorità di regolamentazione dopo violazioni da parte di hacker dotati di risorse adeguate. In un caso attentamente seguito dall’agenzia contro SolarWinds, vittima di un attacco informatico del 2020, il giudice distrettuale statunitense Paul A. Engelmayer giovedì ha chiesto alla società di archiviare la causa, sostenendo che le leggi attuali conferiscono alla SEC autorità solo sui controlli finanziari, non su tutti i controlli interni.

“La logica della SEC per interpretare la legge in modo da coprire ampiamente tutti i sistemi utilizzati dalle società pubbliche per proteggere i loro beni di valore avrebbe conseguenze disastrose”, ha scritto Engelmayer nel suo articolo. Una decisione lunga 107 pagine.

“Ciò darebbe all’agenzia l’autorità di regolamentare i controlli dei precedenti utilizzati per assumere guardie di sicurezza notturne, scassinare le serrature dei depositi, le misure di sicurezza nei parchi acquatici la cui affidabilità dipende dalle risorse in buona fede dei clienti, e la lunghezza e la configurazione delle password richieste per accedere computer privati.” L’azienda”, ha scritto.

Un giudice federale di Manhattan ha inoltre respinto le affermazioni della SEC secondo cui le rivelazioni di SolarWinds dopo aver appreso che i suoi clienti erano stati colpiti avrebbero indebitamente nascosto la gravità dell'hacking, poiché gli agenti dell'intelligence russa sono accusati di aver estratto il software di SolarWinds per più di un anno per ottenere l'accesso a diverse agenzie federali e le principali aziende tecnologiche. Le autorità statunitensi hanno descritto l'operazione, rivelata nel dicembre 2020, come una delle operazioni più pericolose degli ultimi anni, le cui conseguenze si fanno ancora sentire sul governo e sull'industria.

In un’epoca in cui le campagne di hacking distruttive sono diventate un luogo comune, la causa ha allarmato leader aziendali, alcuni funzionari della sicurezza e persino ex funzionari governativi, come espresso nelle memorie dell’amicus curiae che ne sollecitavano il licenziamento. Hanno affermato che l’aggiunta della responsabilità per false dichiarazioni scoraggerebbe le vittime di hacking dal condividere ciò che sanno con clienti, investitori e autorità preposte alla sicurezza.

Solarwinds, con sede ad Austin, si è detta lieta che il giudice “abbia sostanzialmente accolto la nostra mozione di respingere le affermazioni della SEC”, aggiungendo in una dichiarazione che è “grata per il supporto che abbiamo ricevuto finora in tutto il settore, dai nostri clienti, da professionisti della sicurezza informatica, “E tra i funzionari governativi veterani che hanno fatto eco alle nostre preoccupazioni”.

La Securities and Exchange Commission non ha risposto a una richiesta di commento.

Engelmeier non ha archiviato del tutto il caso, consentendo alla SEC di provare a dimostrare che SolarWinds e il suo massimo funzionario della sicurezza, Timothy Brown, hanno commesso una frode sui titoli non avvertendo in una “dichiarazione di sicurezza” pubblica prima dell’hack di sapere di essere altamente vulnerabile a attacchi.

“La SEC sostiene che Solarwinds e Brown hanno fornito informazioni fuorvianti nella dichiarazione di sicurezza, molte delle quali equivalgono a vere e proprie bugie, sull’adeguatezza dei loro controlli di accesso”, ha scritto Engelmayer nella sua lettera “Per i clienti per i quali la sicurezza informatica è importante massima importanza, questa disinformazione era senza dubbio materiale.”

Il giudice ha elogiato la SEC per aver sostenuto tale tesi con un'indagine che ha prodotto lettere interne e presentazioni che criticavano i controlli di accesso dell'azienda, le politiche sulle password e la capacità limitata di monitorare le sue reti.

Nel 2019, un ricercatore di sicurezza esterno ha informato l’azienda che era stata scoperta la password di un server utilizzato per inviare aggiornamenti software: si trattava di “solarwinds 123”.