Dopo anni di indagini e intense battaglie legali legate alla sicurezza informatica, la SEC, ovvero la Securities and Exchange Commission statunitense, ha abbandonato la propria causa contro SolarWinds e il suo Chief Information Security Officer. L’accusa principale riguardava la presunta comunicazione ingannevole agli investitori sulle pratiche di sicurezza adottate dalla società, direttamente collegate al noto attacco supply chain del 2020. Questo attacco, attribuito al gruppo APT29 sponsorizzato dallo Stato russo, aveva compromesso la catena di fornitura, esponendo a rischio migliaia di aziende e agenzie governative.
La SEC aveva inizialmente accusato SolarWinds e il suo CISO di frode e fallimenti nei controlli interni. Secondo l’agenzia, la società avrebbe sopravvalutato le proprie pratiche di cybersecurity, minimizzando o omettendo rischi noti. Inoltre, la SEC sosteneva che SolarWinds e il responsabile della sicurezza avessero ignorato segnali d’allarme ripetuti e non avessero adottato misure adeguate per proteggere i propri asset digitali, contribuendo così all’esito disastroso dell’attacco.
Tuttavia, nel luglio 2024, molte di queste accuse sono state respinte dalla Corte Distrettuale degli Stati Uniti per il Distretto Sud di New York. La corte ha stabilito che tali accuse non fornivano prove sufficienti di gravi carenze nella comunicazione dei rischi di sicurezza informatica da parte dell’azienda, giudicando che si basavano troppo su speculazioni e analisi retrospettive.
Successivamente, la SEC ha puntato l’attenzione anche su altre aziende coinvolte indirettamente nell’incidente SolarWinds, come Avaya, Check Point, Mimecast e Unisys, accusandole di dichiarazioni fuorvianti in materia di cyber attack e disclosure. Nonostante questo allargamento dell’inchiesta, la decisione di ritirare la causa principale su SolarWinds rappresenta un segnale importante per il settore della sicurezza informatica e la gestione della compliance normativa.
L’amministratore delegato di SolarWinds ha dichiarato che questa vicenda segna la fine di un’era particolarmente difficile per l’azienda, sottolineando come l’esperienza abbia reso la società più forte e meglio preparata per affrontare le sfide future in ambito sicurezza IT.
Questo caso evidenzia quanto sia cruciale per le aziende la trasparenza nella comunicazione dei rischi informatici e la necessità di adottare controlli interni robusti per proteggere dati e operazioni, soprattutto in un contesto di minacce evolutive e attacchi sempre più sofisticati.