美国证券交易委员会指控四家公司SolarWinds黑客，罚款数百万美元

美国证券交易委员会（SEC）对四家大公司-- Unisys Corp.提出指控。(NYSE：UIS）、Avaya Holdings Corp.、Check Point Software Technology（纳斯达克股票代码：CHKP）和Mimecast -在网络安全风险和违规行为方面做出重大误导性的公开披露。

美国证券交易委员会认为，这四家公司在提交的文件中淡化了SolarWinds Corp.（纽约证券交易所代码：SWI）Orion软件供应链攻击的严重性，可能会误导投资者有关违规行为的真实影响。

“正如今天的执法行动所反映的那样，虽然上市公司可能成为网络攻击的目标，但它们有责任不通过提供有关其所遇到的网络安全事件的误导性披露来进一步伤害股东或其他投资公众，”桑杰·瓦德瓦（Sanjay Wadhwa）表示，美国证券交易委员会执法部门代理主任。

主要IT服务提供商Unisys因未能实施适当的披露控制和程序而受到额外指控。该公司将支付400万美元的民事罚款，这是四家中最高的。

美国证券交易委员会发现，Unisys在其公开披露中将网络安全风险描述为假设性的，尽管知道发生了两起与SolarWinds相关的漏洞，导致GB数据泄露。据美国证券交易委员会称，Unisys的披露具有“重大误导性”，部分原因是其内部控制缺陷。

其他罚款包括Avaya的100万美元、Check Point的995，000美元和Mimecast的990，000美元。

电信公司Avaya声称SolarWinds黑客仅访问了“数量有限的电子邮件”，而美国证券交易委员会的调查结果显示，网络犯罪分子在Avaya的云文件共享环境中访问了至少145个文件。

据称，以色列网络安全公司Check Point通过对网络入侵及其潜在风险的模糊描述来最大限度地减少这次漏洞。

专门研究云电子邮件和数据安全的Mimecast被发现低估了攻击的程度，因为没有披露泄露的代码类型和被泄露的加密凭证数量。

SolarWinds黑客攻击是2020年的一次重大网络攻击，期间俄罗斯国家支持的黑客将恶意代码插入SolarWinds的Orion软件中。这种“朝阳”恶意代码使攻击者能够远程访问数千个组织的系统，其中包括微软和FireEye等私营公司以及国土安全部和财政部等美国主要政府部门。

尽管这些公司没有承认或否认SEC的调查结果，但他们已同意支付罚款并采取纠正措施以加强其网络安全实践。

美国证券交易委员会于2023年10月提起诉讼，但今年7月美国地区法官保罗·恩格尔迈尔（Paul Engelmayer）驳回了针对SolarWinds的大部分指控，裁定欺诈投资者的指控是投机性的。

阅读下一步：· OpenAI任命前Uber高管为合规官，监督监管问题

照片：Shutterstock