美政府起訴企業首席安全官未盡職，震驚安全高管群體

安全內參11月1日消息，美國證券交易委員會（SEC）周一對太陽風公司（Solarwinds）提起訴訟，起訴理由是該機構認為太陽風的數字安全保障措施不足，且未能及時披露這些問題，導致該公司發生有史以來最嚴重的入侵事件。

美國證券交易委員會在起訴書中指控太陽風公司和該公司首席信息安全官Tim Brown，多次違反聯邦證券法的反欺詐披露和內部控制規定，多年來一直忽視有關安全漏洞的警告，沒有披露公司明知可能導致黑客攻擊的漏洞，直到在2020年底才披露了這次入侵事件。2021年4月，美國政府正式將入侵事件歸咎于俄羅斯外國情報機構的黑客。 

出現多個“第一次”

美國證券交易委員會執法部門前助理主管、Jenner & Block律師事務所合伙人Jennifer Lee表示，這個案件至少有三個值得注意的獨特要素。2018年，Lee曾主管美國證券交易委員會的首次網絡執法行動。當時，雅虎與該委員會達成了和解協議。

Lee指出，這是美國證券交易委員會在網絡案件中，第一次指控一個組織有意欺騙投資者，第一次采取針對個人的行動，第一次指控一家公司在其內部控制方面存在失誤。

關于第二個“第一次”，美國證券交易委員會首次提醒可能對太陽風采取執法行動時，各組織負責網絡職能的高管群體們大為受驚。

起訴證據主要來自內部員工

美國證券交易委員會大量采信太陽風公司員工和官員的陳述，強調太陽風已經意識到了其安全問題。根據投訴書：

• 一名工程師在2018年表示，公司的遠程訪問設置“不太安全”，利用這種不安全設置的人“基本上可以做任何事，而不被我們察覺”，這會對太陽風造成“重大聲譽和財務損失”。
• 2019年和2020年的多次演示都說明太陽風公司在系統訪問控制方面存在問題。
• 2020年7月，Tim Brown表示黑客非常熟悉太陽風軟件，知道“如何部署軟件，關閉備份等”。同月，一名工程團隊成員表示，他們對某個太陽風客戶的活動感到“驚嚇”。Tim Brown因此表示，該事件“非常令人擔憂”。他補充說：“正如大家所知，我們的后臺系統不夠彈性，確實需要改進。”
• 一名信息安全經理在2020年11月寫道：“我們還遠不是一家注重安全的公司……聽到我們的頭號極客談論安全，我都忍不住想吐”。

美國證券交易委員會執法部門主管Gurbir Grewal在一份聲明中表示：“與其解決這些漏洞，太陽風和Tim Brown發起了一場公關行動，美化了公司的網絡控制環境，導致投資者無法準確獲知重要信息。”

“今天的執法行動不僅控告太陽風和Tim Brown誤導投資大眾，未能保護公司的‘皇冠明珠’資產，還重申了我們對發行人的態度：他們必須實施與風險環境相適應的強有力的控制措施，并如實告知投資者已知的問題。”

太陽風重申斗爭策略

太陽風公司之前已經表示準備與美國證券交易委員會作斗爭。公司在本周一重申了這一表態。

太陽風公司發表聲明：“美國公司受到俄羅斯黑客攻擊，美國證券交易委員會卻對美國公司提起毫無根據的指控，我們對此感到失望，非常擔憂此舉將危及我們的國家安全。美國證券交易委員會決定針對我們和首席信息安全官提出索賠，這是該機構過度擴張的又一例證，應引起全國各地所有上市公司和網絡安全專業人士的警覺。我們期待在法庭上澄清真相，并繼續落實我們的設計安全承諾，支持我們的客戶。”

Tim Brown的代理律師Alec Koch表示：“Tim Brown在太陽風擔任信息安全副總裁以及后來擔任首席信息安全官期間，勤勉、誠實，杰出地履行了他的職責。Tim Brown先生在太陽風任職期間不懈努力，持續改進公司的網絡安全狀況。我們期待捍衛他的聲譽，并糾正美國證券交易委員會投訴中的不準確之處。”Alec Koch就職于King & Spalding律師事務所。