SolarWinds（SWI）黑客事件：SEC加大对科技和电信公司的网络攻击调查 - 彭博社

Ava Benny-Morrison, Austin Weinstein

2024-03-27

美国证券交易委员会总部位于华盛顿特区。

摄影师：Valerie Plesch/Bloomberg美国证券交易委员会正在询问科技和电信公司如何处理庞大的2020年SolarWinds网络攻击，并因其所谓的过度干预而受到网络安全行业和大企业的抨击。

美国证券交易委员会在大规模黑客攻击之后向更广泛范围的受害公司寻求信息，根据熟悉此事的人士透露，该机构一直在完善其调查，这些人没有透露公司的身份。据这些人透露，监管机构要求提供有关网络攻击影响的内部沟通，探究公司安全方面的漏洞以及其他网络事件，这些人要求不透露姓名，因为涉及私人事务。

快讯：关于俄罗斯SolarWinds网络攻击的事实和谜团

此次调查的部分目的是确定公司可能知道但没有披露的内容，这是在美国证券交易委员会去年十月对SolarWinds公司提起的具有里程碑意义的诉讼之后进行的，该诉讼声称该公司未能保持充分的控制并通过淡化安全风险欺骗投资者。SolarWinds是德克萨斯州的软件公司，其旗舰产品被用作攻击的木马。

2020年12月，大规模黑客攻击年度，SolarWinds总部位于奥斯汀。摄影师：Bronte Wittpenn/Bloomberg对受害公司本身的调查日益加剧，这发生在针对该机构监管野心的更广泛抵制之际。强大的贸易和游说团体批评Gary Gensler的SEC对气候政策、加密货币、市场结构、贸易处理等方面的监管。美国商会，虽然不是SolarWinds诉讼的一方，但上个月还提交了一份简短文件，要求法院考虑其观点——该观点是SEC做得太过分了。

‘权力扩张’

该机构的“不断扩张权力”使公司陷入了不确定状态和法律危险之中，关于如何设计其内部控制，商会和商业圆桌在曼哈顿联邦法院的“法庭之友”简短文件中争论道。商业圆桌的成员包括苹果公司的Tim Cook，花旗集团的Jane Fraser和摩根大通公司的Jamie Dimon。

阅读更多：前美国网络和情报领导人支持SolarWinds

SolarWinds案件是SEC执法计划在网络安全方面的一个转折点，Jennifer Lee说，她曾是SEC执法部门的前助理主任，现在是Jenner & Block LLP的合伙人。

委员会在数据泄震后“变得非常激进”地审查公共公司的披露，现在，随着SolarWinds事件的发生，它将焦点转向公司在网络安全事件发生前所做的公开声明，” 李说，他预测这起诉讼可能是未来案件的一个征兆。

美国证券交易委员会发言人拒绝置评。

法律测试

在这次历史性的网络攻击中，恶意代码被安装在软件更新中。SolarWinds的Orion软件是黑客用来在九个联邦机构和大约100家公司中传播数字混乱的产品之一，包括网络设备制造商Cisco Systems Inc.和网络安全公司FireEye Inc.，现在被称为Mandiant Inc.。目前尚不清楚这两家公司是否收到了美国证券交易委员会的信息请求。

律师表示，这起诉讼可能是美国证券交易委员会工具的首次法律测试：当国会半个世纪前要求公共公司保持某些“内部会计控制”以防止贿赂外国官员时，它的意图是什么。商业贸易团体表示，该机构通过将其应用于网络犯罪的公司并有效地从方程式中删除“会计”来扭曲了法律。

“这起诉讼的结果将影响每家公共公司，”该团体的律师Nicole Friedlander在一份声明中说。“美国证券交易委员会首次声称有权惩罚公司因涉嫌未能控制对公司拥有的任何东西的访问，而不仅限于资产负债表资产。”

塞林·特纳（Serrin Turner）是SolarWinds的律师，他表示这起案件“毫无根据，也是前所未有的。”

“商界呼吁撤销这起案件，因为证券交易委员会试图将网络安全披露义务扩展到远远超出法律要求的范围，”他在一份声明中说。

从委员会的角度来看，网络安全控制是内部会计控制，因为它们旨在保护公司资产，而该机构称SolarWinds未能做到这一点。SEC执法总监古比尔·格雷瓦尔（Gurbir Grewal）在本月的一次会议上表示，SolarWinds公开说的与高管内部说的存在不一致。

“瑞士军刀法案”

在这次袭击之后，SEC致函一大批据信受到影响的公司，以确定它们是否向投资者做出了适当的披露，是否存在与网络袭击相关的可疑交易，以及是否泄露了私人数据。

这封信来自执法部门，负责调查和惩罚公司，但为了鼓励合作，该机构表示不会对自愿共享数据的公司进行处罚。

两年后提起的诉讼在网络安全行业引发了轩然大波，一些人认为这可能会阻止未来与政府的合作。格雷瓦尔在证券业协会和金融市场协会会议上反驳了这一观点。

“没有人要求你透露黑客是如何入侵的，黑客从哪里入侵的蓝图，”他说。

商界领袖指出SEC内部对执法策略持怀疑态度。2020年，能源公司Andeavor同意支付2000万美元解决股票回购纠纷。三年后，Charter Communications Inc.在类似案件中支付了2500万美元。每起案件都引起了两名SEC委员的反对意见，他们对法律工具的使用表示担忧。

他们将其称为“瑞士军刀法案”，以著名的多功能刀命名。

SolarWinds案件是证券交易委员会诉SolarWinds Corp.，23-cv-09518，美国纽约南区地方法院（曼哈顿）。