הקלה ל-CISOs: ה-SEC ביטלה את התביעה נגד SolarWinds

הסכסוך המשפטי על רקע Sunburst הסתיים בבקשה לסגירה סופית, ומגדיר מחדש את גבולות האחריות האישית של מנהלי אבטחה

רונה חזקיה

25.11.25

תמונה: dreamstime

ה-Securities and Exchange Commission (SEC) בארצות הברית הודיעה השבוע על ביטול סופי של התביעה שהגישה נגד SolarWinds וה-CISO שלה, טים בראון. במסגרת הבקשה לבית המשפט, הצדדים ביקשו סגירה with prejudice, כלומר שלא ניתן יהיה להגיש את התביעה מחדש. מדובר בסיומו של פרק ארוך במאבק משפטי שהתנהל בעקבות מתקפת הסייבר החמורה Sunburst, שהשפיעה על עשרות לקוחות החברה, כולל סוכנויות ממשלתיות וחברות בינלאומיות.

המתקפה שהחלה הכל

בין 2020 ל‑2021 התגלתה מתקפת הסייבר Sunburst, שבה האקרים הצליחו לחדור לשרת העדכונים של SolarWinds במוצר Orion והצליחו לקבל גישה לרשתות של לקוחות שונים ולמידע רגיש. המתקפה נחשבה לאחת הפגיעות החמורות ביותר בשרשרת אספקת תוכנה ו-SolarWinds עמדה במוקד הן מבחינה טכנולוגית והן מבחינה רגולטורית.

לאחר גילוי הפריצה, ב‑SEC טענו שהחברה הציגה למשקיעים תמונת מצב מטעה של אבטחת מידע ושבפועל ניהול האבטחה כלל ליקויים משמעותיים. המשמעות, לפי הטענות, הייתה שהמשקיעים לא קיבלו את כל המידע הדרוש להערכת הסיכון הפיננסי, ומחיר המניה של החברה נפגע כתוצאה מכך.

את התביעה האזרחית הגישו ב-SEC באוקטובר 2023, והיא הציגה את SolarWinds ובראון כאחראים למצגי השווא של אבטחת המידע. על פי התביעה, החברה הציגה פרקטיקות אבטחה מתקדמות, אך בפועל ניהלה בקרות לא מספקות. ביוני 2024 דחה שופט פדרלי את רוב הטענות וציין שחלק מההאשמות מבוססות על "הסתכלות בדיעבד" וכי אינן מהוות בסיס לתביעה. לאחר מכן, הצדדים ניהלו משא ומתן אינטנסיבי ובסופו של דבר הגיעו להסכם פשרה עקרוני לסגירת התיק. לבסוף, ב-20 בנובמבר 2024, הוגשה בקשה משותפת להפסקת התביעה, סיום שמסמן את סגירת המאבק המשפטי.

פרק שכולם יזכרו

החלטת ה-SEC לבטל את התביעה היא הקלה משמעותית ל-CISO בחברות ציבוריות, שחלקם חששו מהשלכות משפטיות אישיות במקרה של פרצות סייבר. המהלך משדר מסר לגבי רמת אחריות שנדרשת בחשיפה של מידע על מדיניות אבטחה, ומדגים את הקשר ההדוק בין רגולציה, ניהול סיכונים ואבטחת סייבר.

SolarWinds ובראון סיימו פרק משפטי ארוך, אך המתקפה והסיפור המשפטי ממשיכים להיות נקודת ציון בעולם הסייבר והרגולציה. המקרה שלהם מדגים את החשיבות של ניהול סיכונים ברמות הגבוהות ביותר וימשיך לשמש דוגמה למנהלים, משקיעים ורגולטורים על הצורך בשקיפות, דיוק ובקרות אבטחה מוצקות.

ההודעה של ה-SEC על ביטול התביעה משקפת גם את המגבלות של האכיפה המשפטית בתחום אבטחת סייבר וגם מסמנת את האיזון בין אחריות מקצועית לסיכון רגולטורי.