SEC指控四家公司因SolarWinds黑客攻击并处以数百万美元罚款

美国证券交易委员会(SEC)指控四家大公司-Unisys Corp.(NYSE：UIS)、Avaya Holdings Corp.、Check Point Software Technologies(NASDAQ：CHKP)和Mimecast-就网络安全风险和入侵进行了具有重大误导性的公开披露。

SEC辩称，这四家公司在提交给美国证券交易委员会的文件中淡化了SolarWinds Corp.(纽约证券交易所代码：SWI)猎户座软件供应链攻击的严重性，可能会在入侵的真正影响方面误导投资者。

SEC执法部代理主管桑贾伊·瓦德瓦表示：“正如今天的执法行动所反映的那样，尽管上市公司可能成为网络攻击的目标，但它们有责任不再通过提供有关它们所遇到的网络安全事件的误导性披露，进一步伤害其股东或其他投资公众成员。”

Unisys是一家主要的IT服务提供商，它因未能实施适当的披露控制和程序而受到额外指控。该公司将支付400万美元的民事罚款，这是四家公司中最高的。

SEC发现，Unisys在其公开披露中将网络安全风险描述为假设性的，尽管知道发生了两次与SolarWinds相关的入侵，导致数十亿字节的数据外泄。美国证交会表示，Unisys的披露具有“重大误导性”，部分原因是其内部控制存在缺陷。

其他罚款包括对Avaya的100万美元、Check Point的995,000美元和Mimecast的99万美元。

电信公司Avaya声称，SolarWinds黑客只访问了“有限数量的电子邮件”，而SEC的调查结果显示，网络罪犯在Avaya的云文件共享环境中访问了至少145个文件。

据称，以色列网络安全公司Check Point通过模糊地描述网络入侵及其潜在风险，将入侵降至最低。

专门从事云电子邮件和数据安全的Mimecast被发现低估了攻击的程度，因为它没有披露泄露的代码类型和泄露的加密凭据数量。

SolarWinds黑客攻击是2020年的一次重大网络攻击，在此期间，俄罗斯国家支持的黑客将恶意代码插入SolarWinds的Orion软件。这种“SunBurst”恶意代码为攻击者提供了对数千个组织系统的远程访问，其中包括微软和FireEye等私营公司以及国土安全部和财政部等美国主要政府部门。

尽管这些公司既不承认也不否认SEC的调查结果，但它们已同意支付罚款并采取纠正措施，以加强其网络安全实践。

SEC于2023年10月提起诉讼，但今年7月，美国地区法官保罗·恩格尔梅尔驳回了对SolarWinds的大部分指控，裁定欺诈投资者的指控是投机性的。

阅读下一页：·OpenAI任命前优步高管为合规官，负责监管问题

照片：快门