Mwaka jana, serikali iliwasilisha kesi ya kihistoria ikidai kuwa SolarWinds na Afisa Mkuu wa Usalama wa Habari (CISO) walipotosha umma kuhusu mazoea ya usalama wa mtandao ya kampuni hiyo kabla na baada ya shambulio kubwa la mtandao. Mashtaka hayo yaliwashangaza viongozi katika sekta hiyo na kulazimisha makampuni mengi kutathmini upya mipango yao ya usalama. Katika tukio la hivi majuzi, hata hivyo, jaji mmoja huko New York alitupilia mbali mashtaka mengi dhidi ya kampuni hiyo na CISO ya SolarWinds, na kuwaacha wengi kujiuliza ni nini maendeleo haya yana maana kwao. Kesi dhidi ya SolarWinds iliwasilishwa na Tume ya Usalama na Ubadilishanaji Fedha (SEC), wakala wa serikali ambao umetafsiri mamlaka yake kwa upana kudhibiti kampuni zinazouzwa hadharani. Mahakama haikukubaliana na SEC kutumia mamlaka hiyo katika mambo muhimu na ikatupilia mbali madai kwamba taarifa katika vyombo vya habari vya SolarWinds, machapisho ya blogu, podikasti, na baadhi ya majalada ya SEC, yaliwakilisha vibaya hatari na udhibiti wa usalama wa mtandao wa kampuni. Sehemu muhimu zaidi ya uamuzi wa mahakama, na ambayo ina uwezekano wa kukata rufaa, ni kwamba SEC haina mamlaka ya kisheria ya kudhibiti uthabiti wa usalama wa kampuni (tofauti na ufichuzi wa kampuni). Uangalizi wa SEC wa udhibiti wa uhasibu wa ndani wa kampuni, kwa maoni ya mahakama, hauendelei kwa mazoea ya usalama wa mtandao. Ikiwa uamuzi utazingatiwa kwa kukata rufaa, inaweza kusababisha vikwazo muhimu kwa mamlaka ya utekelezaji ya SEC. Mahakama iliruhusu serikali kuendelea kusikilizwa kwa madai moja, madai kwamba taarifa za SolarWinds kuhusu udhibiti wa ufikiaji na desturi za nenosiri, katika taarifa yake ya usalama, zilikuwa za kupotosha kwa “mbali pana.” Hapa kuna vidokezo vingine kutoka kwa uamuzi huo: Kampuni bado zinahitajika kutekeleza programu zilizo na uthabiti wa kutosha wa usalama wa mtandao. Ingawa mahakama hii ilikataa mamlaka ya SEC ya kudhibiti uthabiti huu, rufaa inayowezekana ya SEC inaweza kusababisha matokeo tofauti, na udhibiti usiofaa wa usalama unaweza kusababisha hatua za kisheria chini ya kanuni zingine. Madai yatakayowasilishwa mahakamani ni matokeo ya madai ya kutofautiana kati ya jinsi timu ya ndani ilivyoelezea uthabiti wao wa usalama na taarifa za umma ambazo wawekezaji wanategemea, kama vile uaminifu au taarifa za usalama. Serikali inaweza kuleta utekelezaji ikiwa inaamini kuwa taarifa za umma zinawakilisha vibaya mkao wa kweli wa usalama wa kampuni. Ingawa mahakama ilitupilia mbali mashtaka mengi, mahitaji ya SEC kwamba makampuni ya umma yafichue matukio ya usalama wa mtandao, pamoja na usimamizi wa usalama wa nyenzo na taarifa za mkakati, bado zipo. Makampuni yanapaswa kuendelea kuhakikisha kuwa yana michakato ya kutathmini uhalisi na kufichua taarifa za nyenzo zinazohusiana na usalama wa mtandao kwa wawekezaji. Haijalishi jinsi serikali inakusudia kuchunguza na kutekeleza udhibiti wa kutosha wa usalama, kampuni zitanufaika kila wakati kutokana na kudhibiti vitisho vya usalama wa mtandao na kupunguza hatari kwa vitendo.
Leave a Reply