Комісія з цінних паперів та бірж США (SEC) спільно з SolarWinds та її колишнім директором з інформаційної безпеки Тімоті Брауном подали спільний клопотання про добровільне закриття справи від 20 листопада 2025 року. SEC звинувачувала компанію та її CISO в “шахрайстві та невдачах внутрішнього контролю”, стверджуючи, що SolarWinds перебільшувала свої практики кібербезпеки та применшувала відомі ризики перед інвесторами. Справа стосувалася масштабного хаку 2020 року (Sunburst), коли хакери, пов’язані з іноземними державами, проникли в мережі тисячі компаній через оновлення SolarWinds Orion. SEC заявила, що закриття “не обов’язково відображає позицію Комісії в інших справах”. У липні 2024 року окружний суд Нью-Йорка відхилив багато звинувачень, зазначивши, що вони базуються на hindsight та спекуляціях. SolarWinds CEO Судхакар Рамакрішна заявив, що компанія виходить сильнішою та безпечнішою. Справа стала прецедентом для відповідальності CISO, викликавши дебати про те, чи повинні керівники безпеки нести особисту відповідальність за корпоративні порушення. Аналогічні звинувачення SEC висунула проти Avaya, Check Point, Mimecast та Unisys за misleading disclosures після SolarWinds-хаку.

Закриття справи є перемогою для кіберспільноти, яка критикувала SEC за надмірне регулювання. Експерти зазначають, що це може послабити тиск на CISO, але підкреслює необхідність прозорого розкриття ризиків. Рекомендації: компанії повинні посилювати внутрішні контроли, документувати ризики та проводити регулярні аудити. Тренд: зростання регуляторного тиску на кібербезпеку після великих інцидентів. Інцидент ілюструє баланс між відповідальністю та інноваціями в галузі.