• 一名美国法官驳回了 SEC 对 SolarWinds 的大部分诉讼,裁定这些指控是基于“事后诸葛亮和猜测”。
  • SEC 指控 SolarWinds 隐瞒了攻击的漏洞和严重性,忽视了网络安全的复杂性,并带有事后偏见。

我们的看法
SEC 的行动忽视了网络安全的复杂性,要求 SolarWinds 披露每一起事件,这无异于帮助黑客。公司必须在透明度和安全性之间取得平衡,而 SEC 的立场破坏了这一点。SEC 应该做的是专注于推广网络安全实践,而不是惩罚网络攻击的受害者。
–Ashley Wang,BTW 记者

发生了什么

一名美国法官驳回了美国证券交易委员会(SEC)对软件公司SolarWinds的大部分诉讼,后者被指控通过隐瞒与俄罗斯有关的网络攻击前后的安全弱点来欺骗投资者。

这次被称为 Sunburst 的网络攻击针对的是 SolarWinds 的 Orion 软件平台,渗透了多个美国政府网络,包括商务部、能源部、国土安全部、国务院和财政部的网络。该攻击于 2020 年 12 月披露,其全部后果仍不明朗,尽管美国政府将其归咎于俄罗斯,但俄罗斯对此予以否认。

曼哈顿的美国地区法官 Paul Engelmayer 驳回了对 SolarWinds 及其首席信息安全官 Timothy Brown 在攻击后所作陈述的所有指控。他裁定这些指控是基于“事后诸葛亮和猜测”。在他 107 页的裁决中,法官还驳回了 SEC 关于攻击前陈述的大部分指控,但保留了对 SolarWinds 网站上关于公司安全措施的一项陈述相关的证券欺诈指控。SolarWinds 对该裁决表示满意,称对公司剩余的指控“与事实不符”。

另请阅读:网络安全威胁:数字间谍活动的隐秘现实

另请阅读:物联网平台所需的三层安全

为什么重要

SEC 去年 10 月提起的诉讼,标志着该监管机构首次在未同时宣布和解的情况下,针对一家遭受网络攻击的公司。SEC 起诉未密切参与财务报表编制的高管也不常见。SEC 指控 SolarWinds 淡化了其网络安全漏洞和攻击的严重性,并隐瞒了客户关于 Orion 恶意活动的警告。

然而,SEC 的行动忽视了网络安全的复杂现实。期望 SolarWinds 披露每一起单独的事件和漏洞是危险的,因为这会使公司暴露给黑客。公司必须在透明度和安全性之间取得平衡,而 SEC 的立场破坏了这种微妙的平衡。

SolarWinds 承认了网络攻击的普遍风险,这是当今数字环境中诚实的承认。惩罚他们成为网络攻击的受害者只会阻止其他公司保持这种透明度。SEC 必须重新调整其策略,专注于促进稳健的网络安全实践,而不是让陷入全球网络战交火中的公司成为替罪羊。