美國證券交易委員會起訴SolarWinds公司涉2020年俄羅斯黑客攻擊事件 - 《華爾街日報》

SolarWinds公司律師稱SEC訴訟是"越權行為"。圖片來源：sergio flores/路透社美國證券交易委員會(SEC)週一起訴了軟件公司SolarWinds，指控該公司通過反覆誤導股東關於其網絡安全漏洞和攻擊者滲透系統能力的方式實施欺詐。三年前曾遭俄羅斯關聯黑客攻擊的這家企業面臨重大法律挑戰。

SEC此次訴訟標誌着其不斷演進的上市公司網絡安全監管嘗試進入新階段。該機構指出，竊取商業機密或客户數據的黑客攻擊往往導致受害公司股價暴跌，這正説明為何上市公司必須準確披露此類威脅。監管機構近期已對上市公司實施了更嚴格的網絡安全報告規定。

該訴訟還呈現了SolarWinds數據泄露事件的不同視角——該公司此前將自己描述為高度複雜入侵的受害者，其他政府機構稱這是俄羅斯間諜活動的一部分。這起持續一年未被發現的入侵事件，使黑客得以通過SolarWinds軟件在至少九個聯邦機構建立據點。

美國證券交易委員會（SEC）在網絡安全領域的角色頗具爭議，商業團體認為其調查可能將責任轉嫁給受害企業。其他執法機構在調查黑客時傾向於保持沉默，有時會因SEC的信息披露要求與其發生衝突。太陽風公司案是證券監管機構首次以民事欺詐指控——該機構可動用的最嚴厲手段——就黑客事件對上市公司提起訴訟。

“SEC試圖不當自封為上市公司的網絡安全警察，“太陽風公司代理律師肖恩·伯科維茨表示，“該機構對這一複雜領域的過度干預應引起全美上市公司和網絡安全專業人士的警惕。”

太陽風公司股價週一已下跌約1.6%，在SEC訴訟公開後，盤後交易中進一步小幅下挫。

另一個創紀錄之處在於，SEC向曼哈頓聯邦法院提交的訴狀中還點名了太陽風公司安全主管蒂姆·布朗。SEC通常不會起訴那些不直接監督或編制公司財務報表的上市公司高管。

布朗的律師表示SEC指控失實，布朗計劃在法庭上抗辯。“布朗先生在太陽風任職期間始終不懈且負責任地致力於提升公司網絡安全水平，“律師亞歷克·科赫説。

SEC指控稱，布朗明知公司網絡安全防禦存在重大缺陷，卻縱容公司向投資者輕描淡寫該問題。太陽風公司內部知情情況與公開聲明的反差，正是SEC欺詐指控的核心依據。

美國證券交易委員會（SEC）表示，布朗對信息安全問題的認知最早可追溯至2018年10月，當時SolarWinds公司正在進行首次公開募股。訴訟文件顯示，他在一份內部演示文稿中寫道，SolarWinds"當前的安全狀況使得我們的關鍵資產處於極度脆弱的狀態。”

SolarWinds公司稱，在2020年12月14日首次向股東披露此次攻擊事件前數日，才得知自己在此次數據泄露中扮演的核心角色。最初披露稱可能受影響客户不足1.8萬。數日後，該公司告知投資者已針對漏洞發佈軟件更新。

據知情人士透露，實際受影響數量要小得多——不足100家。SolarWinds認為其最初披露的是最壞情況，並告知股東正在調查問題範圍。其律師因此認為該披露已充分到位。

公司代理律師伯克維茨表示：“SolarWinds是遭受俄羅斯高度複雜網絡攻擊的美國企業，SEC現在決定對受害者進行二次傷害。這一決定將給安全界傳遞寒蟬效應，阻礙行業信息共享。”

SEC在訴訟中指出，雖然此次黑客攻擊被歸因於技術精湛的國家級行為體，但該公司本可通過"簡單措施"修補已知漏洞來避免損失。SEC稱，針對其客户的一系列攻擊及其他預警信號已凸顯公司面臨的嚴峻威脅。

美國證券交易委員會（SEC）在其訴訟中指控，黑客入侵始於2019年1月，當時他們侵入了SolarWinds的虛擬專用網絡（VPN）。SEC表示，一名SolarWinds工程師早在一年前就通過電子郵件和向管理層提交的演示文稿警告過這一漏洞。SEC稱，SolarWinds既未對這些擔憂採取行動，也未更新其披露信息以解決這些問題。

企業使用VPN為員工訪問公司數據創建更安全的連接。黑客在侵入SolarWinds網絡且未被發現後，採取了其他步驟以實現其最終目標，將名為Sunburst的惡意代碼植入該公司的Orion軟件更新中。

SEC稱，SolarWinds在2020年初還獲悉，其部分小型客户遭受的攻擊可能與其自身網絡被入侵有關。該機構表示，這些攻擊顯示出對SolarWinds產品及客户的深入瞭解，本應向投資者披露這一危險信號。

另一家政府機構在2020年5月（即事件披露前六個月）告知SolarWinds其軟件可能已遭入侵。SEC表示，SolarWinds未能查明政府報告的惡意活動原因。SEC稱，這又是一次警告，但SolarWinds未更新披露信息以反映其與客户面臨的更嚴重威脅。

2023年7月，SolarWinds以2600萬美元和解了股東提起的集體訴訟。該訴訟指控SolarWinds通過宣稱擁有強大的網絡安全控制誤導投資者。該公司未承認存在不當行為。

美國證券交易委員會還採取了一項積極行動，向數百家使用SolarWinds Orion軟件的上市公司索取有關黑客攻擊的信息。收到信函的公司律師表示，監管機構希望瞭解這些公司是否準確地向其股東披露了自身受此次入侵事件影響的情況。

微軟和網絡安全公司FireEye是受該事件影響的企業之一。拜登政府因此事對俄羅斯實施了懲罰，包括金融制裁和外交驅逐。俄羅斯否認參與其中。

另外，美國證交會在7月份加強了對上市公司的網絡安全要求。委員們批准了一項新規定，要求企業在四天內披露重大網絡安全問題。該規則稱，如果司法部認定出於國家安全或公共安全原因需對攻擊事件保密，披露可被推遲。

聯繫作者Dave Michaels，郵箱：[email protected]；Kim S. Nash，郵箱：[email protected]

本文發表於2023年10月31日印刷版，標題為《美國證交會就黑客事件起訴SolarWinds》。