SEC指控四家公司因SolarWinds黑客攻擊並處以數百萬美元罰款

美國證券交易委員會(SEC)指控四家大公司-Unisys Corp.(NYSE：UIS)、Avaya Holdings Corp.、Check Point Software Technologies(NASDAQ：CHKP)和Mimecast-就網絡安全風險和入侵進行了具有重大誤導性的公開披露。

SEC辯稱，這四家公司在提交給美國證券交易委員會的文件中淡化了SolarWinds Corp.(紐約證券交易所代碼：SWI)獵户座軟件供應鏈攻擊的嚴重性，可能會在入侵的真正影響方面誤導投資者。

SEC執法部代理主管桑賈伊·瓦德瓦表示：「正如今天的執法行動所反映的那樣，儘管上市公司可能成為網絡攻擊的目標，但它們有責任不再通過提供有關它們所遇到的網絡安全事件的誤導性披露，進一步傷害其股東或其他投資公眾成員。」

Unisys是一家主要的IT服務提供商，它因未能實施適當的披露控制和程序而受到額外指控。該公司將支付400萬美元的民事罰款，這是四家公司中最高的。

SEC發現，Unisys在其公開披露中將網絡安全風險描述為假設性的，儘管知道發生了兩次與SolarWinds相關的入侵，導致數十億字節的數據外泄。美國證交會表示，Unisys的披露具有「重大誤導性」，部分原因是其內部控制存在缺陷。

其他罰款包括對Avaya的100萬美元、Check Point的995,000美元和Mimecast的99萬美元。

電信公司Avaya聲稱，SolarWinds黑客只訪問了「有限數量的電子郵件」，而SEC的調查結果顯示，網絡罪犯在Avaya的雲文件共享環境中訪問了至少145個文件。

據稱，以色列網絡安全公司Check Point通過模糊地描述網絡入侵及其潛在風險，將入侵降至最低。

專門從事雲電子郵件和數據安全的Mimecast被發現低估了攻擊的程度，因為它沒有披露泄露的代碼類型和泄露的加密憑據數量。

SolarWinds黑客攻擊是2020年的一次重大網絡攻擊，在此期間，俄羅斯國家支持的黑客將惡意代碼插入SolarWinds的Orion軟件。這種「SunBurst」惡意代碼為攻擊者提供了對數千個組織系統的遠程訪問，其中包括微軟和FireEye等私營公司以及國土安全部和財政部等美國主要政府部門。

儘管這些公司既不承認也不否認SEC的調查結果，但它們已同意支付罰款並採取糾正措施，以加強其網絡安全實踐。

SEC於2023年10月提起訴訟，但今年7月，美國地區法官保羅·恩格爾梅爾駁回了對SolarWinds的大部分指控，裁定欺詐投資者的指控是投機性的。

閲讀下一頁：·OpenAI任命前優步高管為合規官，負責監管問題

照片：快門