美政府起诉企业首席安全官未尽职，震惊安全高管群体

安全内参11月1日消息，美国证券交易委员会（SEC）周一对太阳风公司（Solarwinds）提起诉讼，起诉理由是该机构认为太阳风的数字安全保障措施不足，且未能及时披露这些问题，导致该公司发生有史以来最严重的入侵事件。

美国证券交易委员会在起诉书中指控太阳风公司和该公司首席信息安全官Tim Brown，多次违反联邦证券法的反欺诈披露和内部控制规定，多年来一直忽视有关安全漏洞的警告，没有披露公司明知可能导致黑客攻击的漏洞，直到在2020年底才披露了这次入侵事件。2021年4月，美国政府正式将入侵事件归咎于俄罗斯外国情报机构的黑客。 

出现多个“第一次”

美国证券交易委员会执法部门前助理主管、Jenner & Block律师事务所合伙人Jennifer Lee表示，这个案件至少有三个值得注意的独特要素。2018年，Lee曾主管美国证券交易委员会的首次网络执法行动。当时，雅虎与该委员会达成了和解协议。

Lee指出，这是美国证券交易委员会在网络案件中，第一次指控一个组织有意欺骗投资者，第一次采取针对个人的行动，第一次指控一家公司在其内部控制方面存在失误。

关于第二个“第一次”，美国证券交易委员会首次提醒可能对太阳风采取执法行动时，各组织负责网络职能的高管群体们大为受惊。

起诉证据主要来自内部员工

美国证券交易委员会大量采信太阳风公司员工和官员的陈述，强调太阳风已经意识到了其安全问题。根据投诉书：

• 一名工程师在2018年表示，公司的远程访问设置“不太安全”，利用这种不安全设置的人“基本上可以做任何事，而不被我们察觉”，这会对太阳风造成“重大声誉和财务损失”。
• 2019年和2020年的多次演示都说明太阳风公司在系统访问控制方面存在问题。
• 2020年7月，Tim Brown表示黑客非常熟悉太阳风软件，知道“如何部署软件，关闭备份等”。同月，一名工程团队成员表示，他们对某个太阳风客户的活动感到“惊吓”。Tim Brown因此表示，该事件“非常令人担忧”。他补充说：“正如大家所知，我们的后台系统不够弹性，确实需要改进。”
• 一名信息安全经理在2020年11月写道：“我们还远不是一家注重安全的公司……听到我们的头号极客谈论安全，我都忍不住想吐”。

美国证券交易委员会执法部门主管Gurbir Grewal在一份声明中表示：“与其解决这些漏洞，太阳风和Tim Brown发起了一场公关行动，美化了公司的网络控制环境，导致投资者无法准确获知重要信息。”

“今天的执法行动不仅控告太阳风和Tim Brown误导投资大众，未能保护公司的‘皇冠明珠’资产，还重申了我们对发行人的态度：他们必须实施与风险环境相适应的强有力的控制措施，并如实告知投资者已知的问题。”

太阳风重申斗争策略

太阳风公司之前已经表示准备与美国证券交易委员会作斗争。公司在本周一重申了这一表态。

太阳风公司发表声明：“美国公司受到俄罗斯黑客攻击，美国证券交易委员会却对美国公司提起毫无根据的指控，我们对此感到失望，非常担忧此举将危及我们的国家安全。美国证券交易委员会决定针对我们和首席信息安全官提出索赔，这是该机构过度扩张的又一例证，应引起全国各地所有上市公司和网络安全专业人士的警觉。我们期待在法庭上澄清真相，并继续落实我们的设计安全承诺，支持我们的客户。”

Tim Brown的代理律师Alec Koch表示：“Tim Brown在太阳风担任信息安全副总裁以及后来担任首席信息安全官期间，勤勉、诚实，杰出地履行了他的职责。Tim Brown先生在太阳风任职期间不懈努力，持续改进公司的网络安全状况。我们期待捍卫他的声誉，并纠正美国证券交易委员会投诉中的不准确之处。”Alec Koch就职于King & Spalding律师事务所。