美國證券交易委員會指控四家公司SolarWinds黑客，罰款數百萬美元

美國證券交易委員會（SEC）對四家大公司-- Unisys Corp.提出指控。(NYSE：UIS）、Avaya Holdings Corp.、Check Point Software Technology（納斯達克股票代碼：CHKP）和Mimecast -在網絡安全風險和違規行為方面做出重大誤導性的公開披露。

美國證券交易委員會認為，這四家公司在提交的文件中淡化了SolarWinds Corp.（紐約證券交易所代碼：SWI）Orion軟件供應鏈攻擊的嚴重性，可能會誤導投資者有關違規行為的真實影響。

「正如今天的執法行動所反映的那樣，雖然上市公司可能成為網絡攻擊的目標，但它們有責任不通過提供有關其所遇到的網絡安全事件的誤導性披露來進一步傷害股東或其他投資公眾，」桑傑·瓦德瓦（Sanjay Wadhwa）表示，美國證券交易委員會執法部門代理主任。

主要IT服務提供商Unisys因未能實施適當的披露控制和程序而受到額外指控。該公司將支付400萬美元的民事罰款，這是四家中最高的。

美國證券交易委員會發現，Unisys在其公開披露中將網絡安全風險描述為假設性的，儘管知道發生了兩起與SolarWinds相關的漏洞，導致GB數據泄露。據美國證券交易委員會稱，Unisys的披露具有「重大誤導性」，部分原因是其內部控制缺陷。

其他罰款包括Avaya的100萬美元、Check Point的995，000美元和Mimecast的990，000美元。

電信公司Avaya聲稱SolarWinds黑客僅訪問了「數量有限的電子郵件」，而美國證券交易委員會的調查結果顯示，網絡犯罪分子在Avaya的雲文件共享環境中訪問了至少145個文件。

據稱，以色列網絡安全公司Check Point通過對網絡入侵及其潛在風險的模糊描述來最大限度地減少這次漏洞。

專門研究雲電子郵件和數據安全的Mimecast被發現低估了攻擊的程度，因為沒有披露泄露的代碼類型和被泄露的加密憑證數量。

SolarWinds黑客攻擊是2020年的一次重大網絡攻擊，期間俄羅斯國家支持的黑客將惡意代碼插入SolarWinds的Orion軟件中。這種「朝陽」惡意代碼使攻擊者能夠遠程訪問數千個組織的系統，其中包括微軟和FireEye等私營公司以及國土安全部和財政部等美國主要政府部門。

儘管這些公司沒有承認或否認SEC的調查結果，但他們已同意支付罰款並採取糾正措施以加強其網絡安全實踐。

美國證券交易委員會於2023年10月提起訴訟，但今年7月美國地區法官保羅·恩格爾邁爾（Paul Engelmayer）駁回了針對SolarWinds的大部分指控，裁定欺詐投資者的指控是投機性的。

閲讀下一步：· OpenAI任命前Uber高管為合規官，監督監管問題

照片：Shutterstock