De Amerikaanse Securities and Exchange Commission (SEC) heeft de rechtszaak tegen SolarWinds en de chief information security officer (CISO) van het bedrijf stopgezet. De SEC heeft geen reden gegeven voor deze beslissing. Eerder had een rechter al de meeste aanklachten tegen SolarWinds verworpen. De SEC beschuldigde SolarWinds en de CISO van misleiding en fraude met betrekking tot de cybersecurity van het bedrijf.

SolarWinds ontwikkelt de Orion-software, die door veel bedrijven wordt gebruikt om hun IT-omgevingen te monitoren. Aanvallers wisten een backdoor in de officiële updates van deze software te plaatsen, waardoor de systemen van klanten konden worden gecompromitteerd. Deze besmette updates werden door 18.000 klanten geïnstalleerd, waarna bij een aantal van hen verdere aanvallen plaatsvonden. SolarWinds ontdekte pas eind 2020, na een melding van een externe partij, dat hun ontwikkelomgeving al sinds begin 2019 was gecompromitteerd. De SEC stelde dat SolarWinds investeerders had misleid door de cybersecurity te overdrijven en bekende risico's te bagatelliseren. Het bedrijf informeerde investeerders over algemene risico's, terwijl het op de hoogte was van specifieke tekortkomingen. Interne rapporten toonden aan dat de cybersecurity niet op orde was, ondanks publieke verklaringen van het tegendeel. Een rechter oordeelde dat er geen sprake was van misleiding, omdat de wet niet vereist dat risicowaarschuwingen volledig gespecificeerd zijn. SolarWinds had aangegeven dat het niet elke cyberaanval kon voorkomen en niet verplicht was om individuele incidenten te rapporteren. De rechter gaf de SEC wel gelijk dat de beveiliging van SolarWinds onvoldoende was. Het bedrijf claimde geavanceerde cybersecurity te hebben, maar voldeed niet aan de minimale vereisten. Wachtwoorden waren zwak en te veel medewerkers hadden onbeperkte toegang, wat aanvallers kansen bood.