Em uma moção arquivada no Tribunal Distrital dos EUA para o Distrito Sul de Nova York, a SolarWinds nega ter havido o manejo interno incorreto para enfrentar o ataque cibernético Sunburst de que foi alvo em 2020 e contesta o processo da Comissão de Valores Mobiliários (SEC) dos EUA movido contra ela em outubro de 2023 sob alegação de “ divulgação insuficiente.”
A moção visa a rejeição de todas as acusações da SEC contra a SolarWinds e seu diretor de segurança da informação, Timothy G. Brown. Na ação judicial, a SEC citar a tentativa de enganar os investidores ao não divulgar “riscos conhecidos”, violar regras sobre controles de divulgação e deturpar as medidas de segurança cibernética da empresa durante e antes do ataque de ciberespionagem apoiado por hackers da Rússia.
“A SEC busca revitimizar a vítima, trazendo acusações de fraude de valores mobiliários e controles contra a empresa e seu CISO, Tim Brown”, disse a SolarWinds no processo judicial. “O caso é fundamentalmente falho e deve ser rejeitado na sua totalidade.” Classificando as acusações de completamente “infundadas”, a fabricante de software acrescentou que “revelou o ataque de forma imediata e transparente e continuou a atualizar os investidores à medida que sua investigação avançava”.
Na moção para rejeitar as acusações da SEC, a SolarWinds sustenta que as alegações da SEC eram falhas e estavam fora de sua área de especialização, chamando-a de um truque para estabelecer um mandato para regulamentações de segurança que atualmente não possui. “Quanto às taxas de controle, a SEC não identifica quaisquer controles de divulgação que tenham sido projetados de forma não razoável”, disse a SolarWinds. “E a sua teoria de violações dos “controlos contabilísticos internos” equivale a uma reescrita total da lei.”
Veja isso
SEC processa SolarWinds alegando controles falhos
SolarWinds diz que executivos podem enfrentar ação da SEC
“A agência está tentando transformar o conceito de controles contábeis em um mandato abrangente para regular os controles de segurança cibernética das empresas públicas – uma função para a qual a SEC carece de autorização do Congresso ou conhecimento substantivo”, acrescentou o documento.
Além da falta de “evidências materiais” para suas alegações de fraude, as acusações de violação de divulgação da SEC no processo de outubro são irrealistas e ilegais, de acordo com a SolarWinds. A empresa acrescentou que alertou as partes interessadas de que os seus sistemas eram “vulneráveis a operadores [de ameaças] sofisticados ligados a Estados-nação”. Com agências de notícias internacionais.