Par de decisões judiciais têm implicações na cibersegurança

Um juiz do Tribunal Distrital dos EUA arquivou a maioria das acusações que a Securities and Exchange Commission (SEC) apresentou contra a SolarWinds e o CISO Tim Brown na sequência do agora infame ciberataque que levou à injeção de malware numa plataforma de gestão de serviços de TI (ITSM) da SolarWinds amplamente utilizada por empresas, agências governamentais e fornecedores de serviços de TI.

Em outubro de 2023, a SEC apresentou acusações contra tanto a SolarWinds quanto a Brown, acusando-os de enganar os investidores sobre a força das medidas de cibersegurança da SolarWinds e de minimizar ou não divulgar riscos entre 2017 e 2021. O juiz distrital dos EUA Paul Engelmayer, em Manhattan, em uma decisão de 107 páginas, disse, no entanto, que as acusações relativas às divulgações feitas após o ataque “não fundamentam de forma plausível deficiências acionáveis no relatório da empresa sobre o ataque de cibersegurança. Elas dependem indevidamente de retrospetiva e especulação.”

Isso não significa que os réus estão livres e desimpedidos. Engelmayer escreveu que a SEC poderia prosseguir com as acusações relacionadas à Declaração de Segurança de 2017 da SolarWinds, na qual alegações de políticas e práticas de cibersegurança fortes são consideradas pela SEC como "materialmente enganosas e falsas". Com base nos argumentos, a empresa ficou muito aquém dos requisitos básicos de saúde cibernética corporativa", escreveu o juiz. A SEC ainda não comentou sobre a decisão, mas agora tem duas semanas para tratar das acusações restantes, que a SolarWinds planeia continuar a refutar.

Ao mesmo tempo, outros processos judiciais podem afetar a capacidade da SEC de “interpretar” qualquer regra que não tenha sido especificamente aprovada pelo Congresso. O Supremo Tribunal reduziu o poder de qualquer agência federal para interpretar as leis que administram e decidiu que os tribunais inferiores devem confiar na sua própria interpretação da lei.

Especificamente, o tribunal anulou uma decisão histórica de 1984 no caso Chevron v. Natural Resources Defense Council que criou um precedente, referido como a doutrina Chevron, que estipula que se o Congresso não tiver abordado diretamente a questão no centro de uma disputa, um tribunal era obrigado a manter a interpretação de um estatuto por uma agência, desde que fosse razoável. Mas, numa decisão de 35 páginas, o tribunal determinou agora que essa doutrina é "fundamentalmente equivocada". Naturalmente, essa decisão provavelmente terá implicações de longo alcance que não só afetam as operações da SEC, mas quase todas as regulamentações de conformidade já promulgadas.

Pode demorar alguns anos para que todos estes processos legais se desenrolem, mas na ausência de um mandato específico do Congresso, cada tribunal pode ter de interpretar como qualquer estatuto se aplica, com todos os recursos que inevitavelmente se seguirão.

Obviamente, a maioria dos profissionais de cibersegurança preferiria não se encontrar num tribunal a defender-se de quaisquer acusações. Nenhuma destas decisões elimina essa possibilidade. No entanto, elas alteram a natureza do perigo potencial enfrentado. Se a decisão no caso SolarWinds se mantiver, as provas de má conduta provavelmente precisarão de incluir muito mais detalhes. A decisão da Chevron, por sua vez, significa que será um tribunal, e não uma agência federal, a determinar se alguma alegação é realmente justificada.

De qualquer forma, os profissionais de cibersegurança precisam garantir que estão cientes dos seus direitos e obrigações legais antes de assinar qualquer documento que faça qualquer afirmação sobre o estado atual da cibersegurança na sua organização.