美国证券交易委员会起诉SolarWinds公司涉2020年俄罗斯黑客攻击事件 - 《华尔街日报》

SolarWinds公司律师称SEC诉讼是"越权行为"。图片来源：sergio flores/路透社美国证券交易委员会(SEC)周一起诉了软件公司SolarWinds，指控该公司通过反复误导股东关于其网络安全漏洞和攻击者渗透系统能力的方式实施欺诈。三年前曾遭俄罗斯关联黑客攻击的这家企业面临重大法律挑战。

SEC此次诉讼标志着其不断演进的上市公司网络安全监管尝试进入新阶段。该机构指出，窃取商业机密或客户数据的黑客攻击往往导致受害公司股价暴跌，这正说明为何上市公司必须准确披露此类威胁。监管机构近期已对上市公司实施了更严格的网络安全报告规定。

该诉讼还呈现了SolarWinds数据泄露事件的不同视角——该公司此前将自己描述为高度复杂入侵的受害者，其他政府机构称这是俄罗斯间谍活动的一部分。这起持续一年未被发现的入侵事件，使黑客得以通过SolarWinds软件在至少九个联邦机构建立据点。

美国证券交易委员会（SEC）在网络安全领域的角色颇具争议，商业团体认为其调查可能将责任转嫁给受害企业。其他执法机构在调查黑客时倾向于保持沉默，有时会因SEC的信息披露要求与其发生冲突。太阳风公司案是证券监管机构首次以民事欺诈指控——该机构可动用的最严厉手段——就黑客事件对上市公司提起诉讼。

“SEC试图不当自封为上市公司的网络安全警察，“太阳风公司代理律师肖恩·伯科维茨表示，“该机构对这一复杂领域的过度干预应引起全美上市公司和网络安全专业人士的警惕。”

太阳风公司股价周一已下跌约1.6%，在SEC诉讼公开后，盘后交易中进一步小幅下挫。

另一个创纪录之处在于，SEC向曼哈顿联邦法院提交的诉状中还点名了太阳风公司安全主管蒂姆·布朗。SEC通常不会起诉那些不直接监督或编制公司财务报表的上市公司高管。

布朗的律师表示SEC指控失实，布朗计划在法庭上抗辩。“布朗先生在太阳风任职期间始终不懈且负责任地致力于提升公司网络安全水平，“律师亚历克·科赫说。

SEC指控称，布朗明知公司网络安全防御存在重大缺陷，却纵容公司向投资者轻描淡写该问题。太阳风公司内部知情情况与公开声明的反差，正是SEC欺诈指控的核心依据。

美国证券交易委员会（SEC）表示，布朗对信息安全问题的认知最早可追溯至2018年10月，当时SolarWinds公司正在进行首次公开募股。诉讼文件显示，他在一份内部演示文稿中写道，SolarWinds"当前的安全状况使得我们的关键资产处于极度脆弱的状态。”

SolarWinds公司称，在2020年12月14日首次向股东披露此次攻击事件前数日，才得知自己在此次数据泄露中扮演的核心角色。最初披露称可能受影响客户不足1.8万。数日后，该公司告知投资者已针对漏洞发布软件更新。

据知情人士透露，实际受影响数量要小得多——不足100家。SolarWinds认为其最初披露的是最坏情况，并告知股东正在调查问题范围。其律师因此认为该披露已充分到位。

公司代理律师伯克维茨表示：“SolarWinds是遭受俄罗斯高度复杂网络攻击的美国企业，SEC现在决定对受害者进行二次伤害。这一决定将给安全界传递寒蝉效应，阻碍行业信息共享。”

SEC在诉讼中指出，虽然此次黑客攻击被归因于技术精湛的国家级行为体，但该公司本可通过"简单措施"修补已知漏洞来避免损失。SEC称，针对其客户的一系列攻击及其他预警信号已凸显公司面临的严峻威胁。

美国证券交易委员会（SEC）在其诉讼中指控，黑客入侵始于2019年1月，当时他们侵入了SolarWinds的虚拟专用网络（VPN）。SEC表示，一名SolarWinds工程师早在一年前就通过电子邮件和向管理层提交的演示文稿警告过这一漏洞。SEC称，SolarWinds既未对这些担忧采取行动，也未更新其披露信息以解决这些问题。

企业使用VPN为员工访问公司数据创建更安全的连接。黑客在侵入SolarWinds网络且未被发现后，采取了其他步骤以实现其最终目标，将名为Sunburst的恶意代码植入该公司的Orion软件更新中。

SEC称，SolarWinds在2020年初还获悉，其部分小型客户遭受的攻击可能与其自身网络被入侵有关。该机构表示，这些攻击显示出对SolarWinds产品及客户的深入了解，本应向投资者披露这一危险信号。

另一家政府机构在2020年5月（即事件披露前六个月）告知SolarWinds其软件可能已遭入侵。SEC表示，SolarWinds未能查明政府报告的恶意活动原因。SEC称，这又是一次警告，但SolarWinds未更新披露信息以反映其与客户面临的更严重威胁。

2023年7月，SolarWinds以2600万美元和解了股东提起的集体诉讼。该诉讼指控SolarWinds通过宣称拥有强大的网络安全控制误导投资者。该公司未承认存在不当行为。

美国证券交易委员会还采取了一项积极行动，向数百家使用SolarWinds Orion软件的上市公司索取有关黑客攻击的信息。收到信函的公司律师表示，监管机构希望了解这些公司是否准确地向其股东披露了自身受此次入侵事件影响的情况。

微软和网络安全公司FireEye是受该事件影响的企业之一。拜登政府因此事对俄罗斯实施了惩罚，包括金融制裁和外交驱逐。俄罗斯否认参与其中。

另外，美国证交会在7月份加强了对上市公司的网络安全要求。委员们批准了一项新规定，要求企业在四天内披露重大网络安全问题。该规则称，如果司法部认定出于国家安全或公共安全原因需对攻击事件保密，披露可被推迟。

联系作者Dave Michaels，邮箱：[email protected]；Kim S. Nash，邮箱：[email protected]

本文发表于2023年10月31日印刷版，标题为《美国证交会就黑客事件起诉SolarWinds》。