Un nuevo juez de distrito federal dictó una decisión importante que desestimó gran parte de la acción de aplicación de fraude de valores de la SEC contra SolarWinds derivada de sus reclamos relacionados con las políticas de ciberseguridad de SolarWinds y la divulgación de un ciberataque importante contra la red de SolarWinds.
En un caso sin precedentes, la SEC alegó que SolarWinds, que salió a bolsa en 2018, engaña al público sobre la efectividad de sus prácticas y productos de ciberseguridad, incluida su plataforma de software insignia “Orion”. En una “Declaración de seguridad” en su sitio web y en una variedad de otras declaraciones públicas, incluidas presentaciones de valores,
La SEC argumentó que las presentaciones de SolarWinds eran engañosas porque SolarWinds no reveló que sus productos y prácticas eran defectuosos en la protección contra ataques cibernéticos. La SEC sostuvo que la exageración de la compañía engañó al público inversor haciéndoles creer que el producto de software central de SolarWinds tenía una vulnerabilidad mínima a los ataques cibernéticos.
También, la SEC alegó que SolarWinds engañó al público inversor sobre una serie de ciberataques, que culminaron con la revelación, en diciembre de 2020, de que la empresa y sus clientes habían sido víctimas de un ciberataque a gran escala, conocido como Sunburst, llevado a cabo por piratas informáticos rusos. . La SEC afirmó que,
Inmediatamente después de Sunburst, SolarWinds minimizó el alcance y la gravedad del ataque, incluso omitiendo que los clientes habían informado previamente de una actividad maliciosa similar relacionada con el producto Orion.
Declaración de seguridad de SolarWinds
En cuanto al primer reclamo, el pre-Sunburst revelaciones contenidas en la Declaración de Seguridad, el juez federal de distrito Paul Engelmayer confirmó los cargos porque la violación “se declara viablemente como materialmente falsa y engañosa en numerosos aspectos.
Con respecto a la segunda reclamación, las revelaciones posteriores a Sunburst, el juez Engelmayer desestimó todos los reclamos porque la SEC no “declaró de manera plausible deficiencias procesables en los informes de la compañía sobre el ataque a la ciberseguridad” y concluyó que los reclamos de la SEC “se basaban inadmisiblemente en retrospectiva y especulación”.
Finalmente, el Tribunal desestimó todas las afirmaciones de la SEC de que los controles internos de contabilidad y divulgación de SolarWinds no se alegaban correctamente en su aplicación a sus controles de ciberseguridad.
El caso de la SEC, presentado el año pasado,alega que SolarWinds sabía ya en 2017 que sus prácticas de ciberseguridad estaban muy por debajo de los estándares de la industria, pero emitió varias declaraciones asegurando a los clientes e inversores que sus prácticas de ciberseguridad eran aceptables.
Al defender el caso de la SEC que impugna la Declaración de seguridad de SolarWinds,el Tribunal concluyó que la declaración “proclamaba engañosamente que los controles de acceso de SolarWinds eran sólidos”.
De hecho, como alegó la SEC, SolarWinds era muy consciente de las deficiencias y debilidades en sus controles de ciberseguridad. En particular, el Tribunal citó pruebas que demostraban que los funcionarios de SolarWinds eran muy conscientes de las deficiencias en sus controles de acceso.
y en el momento en que SolarWinds se hizo pública, numerosos funcionarios y empleados de la empresa conocían estas flagrantes omisiones.
La Declaración de seguridad también tergiversó materialmente la declaración de SolarWinds al público de que SolarWinds aplicaba una política de contraseñas seguras. De hecho, la SEC alegó que la política de contraseñas establecida por SolarWinds en general no se aplicaba. En cambio, los empleados utilizaban habitualmente contraseñas simples y no cifradas con respecto a productos y sistemas internos, lo que agravaba la vulnerabilidad de SolarWinds a la intrusión de actores de amenazas.
Divulgaciones de ciberseguridad S-1 de SolarWinds
El Tribunal rechazó las afirmaciones de la SEC de que las divulgaciones de ciberseguridad del formulario S-1 de SolarWinds eran deficientes. Como concluyó el Tribunal, “visto en su totalidad,
Esta divulgación de riesgos fue suficiente para alertar al público inversor sobre los tipos y la naturaleza de los riesgos de ciberseguridad que enfrentaba SolarWinds y las graves consecuencias que podrían presentar para la salud financiera y el futuro de la empresa”.
El Tribunal señaló que:
La divulgación de riesgos de ciberseguridad de SolarWinds, reproducida en su totalidad arriba,enumeró en términos crudos y nefastos los riesgos que enfrentaba la empresa si fallaban sus medidas de ciberseguridad. Aunque un inversor razonable podría fácilmente haberse dejado engañar por la Declaración de Seguridad, dicho inversor no podría haberse dejado engañar por la divulgación de riesgos.
Al rechazar las afirmaciones de la SEC de que SolarWinds debería haber actualizado sus divulgaciones para reflejar dos incidentes cibernéticos específicos,
El juez Engelmayer señaló que el caso de la SEC se basaba demasiado en “la retrospectiva y la especulación” porque la evidencia estableció que la divulgación de SolarWinds se hizo en ese momento en la “etapa inicial de su investigación” de estos incidentes.
El juez Engelmayer también rechazó la propuesta de la SEC.
Reclamaciones de fraude y presentación falsa del ataque Sunburst basadas en el formulario 8-K de SolarWinds, en el que reveló el ataque Sunburst. El Tribunal dictaminó que:
[La SEC] no alega con particularidad que el Formulario 8-K, que por cualquier medida informaba sin rodeos noticias brutalmente malas para SolarWinds, fuera engañoso por no revelar [dos incidentes anteriores]. ‘El silencio, en ausencia de un deber de revelar, no es engañoso’, y ‘[d]la divulgación de… información no es requerida…simplemente porque puede ser relevante o de interés para un inversionista razonable’, In re Braskem S.A. Sec. Litig., 246 F. Supp. 3d 731, 752 (SDNY 2017).
Controles Contables Internos y Políticas y Procedimientos de Ciberseguridad
Al desestimar los reclamos de controles internos de la SEC (la primera dependencia de la SEC de la disposición de controles internos basada en fallas de seguridad cibernética de SolarWinds), el juez de distrito rechazó el uso de las disposiciones de controles internos para los controles de seguridad cibernética de una empresa según las leyes de valores.
En concreto, la Corte afirmó:Desde el punto de vista de la interpretación legal, esa lectura no es sostenible. En varios aspectos, el texto del estatuto apoya firmemente que el término “sistema de controles contables internos” se refiera a la contabilidad financiera de una empresa.
El término “contabilidad” se define ampliamente de esta manera; por ejemplo,como “el sistema de registrar y resumir transacciones comerciales y financieras y analizar, verificar e informar los resultados”. Contabilidad, Diccionario Merriam-Webster, https://www.merriam-webster.com/dictionary/accounting (énfasis añadido). La SEC no ha identificado ninguna definición de diccionario que favorezca su construcción.
Y los términos circundantes que el Congreso utilizó en la Sección 13(b)(2)(B), que se refieren, entre otras cosas, a “transacciones”, “preparación de estados financieros”, “principios de contabilidad generalmente aceptados” y “libros y registros”. ”-son uniformemente consistentes con la contabilidad financiera. Véase Yates v. Estados Unidos, 574 U.S. 528 (2015) (“[Nosotros] nos basamos en el principio de noscitur a sociis (una palabra es conocida por la compañía que la acompaña) para ‘evitar atribuir a una palabra un significado tan amplio que sea inconsistente con las palabras que la acompañan, por lo tanto dando amplitud involuntaria a las leyes del Congreso”).
La decisión del Tribunal es la primera sobre este tema y probablemente no la última.
El uso expansivo por parte de la SEC de su disposición de controles internos para fines contables no financieros es una limitación importante para la aplicación por parte de la SEC de esta importante disposición utilizada para hacer cumplir las leyes de valores.
