前情回顾·全球网络安全执法

安全内参10月24日消息,美国证券交易委员会(SEC)22日宣布,因四家公司在2019年“太阳风”(SolarWinds)数据泄露事件中做出误导性披露,决定对其处以民事罚款。

被处罚的四家公司分别是网络安全公司Check Point(罚款99.5万美元)、Mimecast(罚款99万美元),科技公司Unisys(罚款400万美元)和Avaya(罚款100万美元)。

这些公司均为“太阳风”黑客攻击的受害者,该攻击影响了多个使用“太阳风”软件的公司和政府机构。根据SEC的说法,四家公司都存在不同程度的违规行为,它们“敷衍了事”地淡化了这些攻击带来的损害。

SEC执法部门代理主管Sanjay Wadhwa表示:“虽然上市公司可能成为网络攻击的目标,但它们有责任通过准确披露网络安全事件,保护股东和公众投资者的利益,而非提供误导性信息。在这些案例中,SEC认定这些公司在相关事件上提供了误导性披露,导致投资者无法了解事件的真实范围。”

SEC指出,四家公司各自存在不同的违规之处。

  • Avaya宣称黑客仅访问了“有限数量”的公司电子邮件,却未提及黑客还访问了“其云文件共享环境中的至少145个文件”。

  • Check Point在明知漏洞存在的情况下,仅以“泛泛之辞”描述了网络入侵和潜在风险。

  • Mimecast“拒绝披露”被盗代码及公司加密凭证的数量,“企图淡化攻击的严重性”。

  • Unisys则将其“网络安全事件的风险描述为假设性的”,尽管该公司遭遇了与“太阳风”相关的两次攻击。

美上市公司需履行更多网络安全合规义务

SEC表示,所有涉事公司均配合了调查,并同意支付罚款,同时承诺“未来将停止此类违规行为”,但公司并未“承认或否认”SEC的调查结论。

Avaya发言人Julianne Embry表示,SEC“认可了Avaya在调查中积极配合,并指出我们采取了一些措施,来加强公司的网络安全控制”。

Check Point发言人Gil Messing表示:“Check Point调查了‘太阳风’事件,未发现客户数据、代码或其他敏感信息被访问的证据。然而,Check Point认为,与SEC合作并尽早解决争端是最佳选择。”

Mimecast发言人Timothy Hamilton称,公司在回应“太阳风”黑客攻击时“进行了广泛披露,并积极与客户和合作伙伴保持透明沟通,即便是那些未受影响的客户和合作伙伴”。

Hamilton补充道:“我们认为公司已经履行了符合当时监管要求的披露义务。”

外媒TechCrunch联系Unisys寻求评论时,其发言人Jamie Baid拒绝发表评论,但提到了公司当天发布的8-K文件。Unisys在文件中指出,公司已与SEC达成和解,了结了该机构对公司展开的调查。

近年来,SEC针对上市公司在披露数据泄露事件及其对公司、客户和用户的影响方面,提出了一系列新的义务。

参考资料:https://techcrunch.com/2024/10/22/sec-fines-four-companies-7-million-for-misleading-cyber-disclosures-regarding-solarwinds-hack/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。