美国证券交易委员会（SEC）22日宣布，因四家公司在2019年“太阳风”（SolarWinds）数据泄露事件中做出误导性披露，决定对其处以民事罚款。

被处罚的四家公司分别是网络安全公司Check Point（罚款99.5万美元）、Mimecast（罚款99万美元），科技公司Unisys（罚款400万美元）和Avaya（罚款100万美元）。

这些公司均为“太阳风”黑客攻击的受害者，该攻击影响了多个使用“太阳风”软件的公司和政府机构。根据SEC的说法，四家公司都存在不同程度的违规行为，它们“敷衍了事”地淡化了这些攻击带来的损害。

SEC执法部门代理主管Sanjay Wadhwa表示：“虽然上市公司可能成为网络攻击的目标，但它们有责任通过准确披露网络安全事件，保护股东和公众投资者的利益，而非提供误导性信息。在这些案例中，SEC认定这些公司在相关事件上提供了误导性披露，导致投资者无法了解事件的真实范围。”

SEC指出，四家公司各自存在不同的违规之处。

• Avaya宣称黑客仅访问了“有限数量”的公司电子邮件，却未提及黑客还访问了“其云文件共享环境中的至少145个文件”。
• Check Point在明知漏洞存在的情况下，仅以“泛泛之辞”描述了网络入侵和潜在风险。
• Mimecast“拒绝披露”被盗代码及公司加密凭证的数量，“企图淡化攻击的严重性”。
• Unisys则将其“网络安全事件的风险描述为假设性的”，尽管该公司遭遇了与“太阳风”相关的两次攻击。

美上市公司需履行更多网络安全合规义务

SEC表示，所有涉事公司均配合了调查，并同意支付罚款，同时承诺“未来将停止此类违规行为”，但公司并未“承认或否认”SEC的调查结论。

Avaya发言人Julianne Embry表示，SEC“认可了Avaya在调查中积极配合，并指出我们采取了一些措施，来加强公司的网络安全控制”。

Check Point发言人Gil Messing表示：“Check Point调查了‘太阳风’事件，未发现客户数据、代码或其他敏感信息被访问的证据。然而，Check Point认为，与SEC合作并尽早解决争端是最佳选择。”

Mimecast发言人Timothy Hamilton称，公司在回应“太阳风”黑客攻击时“进行了广泛披露，并积极与客户和合作伙伴保持透明沟通，即便是那些未受影响的客户和合作伙伴”。

Hamilton补充道：“我们认为公司已经履行了符合当时监管要求的披露义务。”

外媒TechCrunch联系Unisys寻求评论时，其发言人Jamie Baid拒绝发表评论，但提到了公司当天发布的8-K文件。Unisys在文件中指出，公司已与SEC达成和解，了结了该机构对公司展开的调查。

近年来，SEC针对上市公司在披露数据泄露事件及其对公司、客户和用户的影响方面，提出了一系列新的义务。

参考资料：https://techcrunch.com/2024/10/22/sec-fines-four-companies-7-million-for-misleading-cyber-disclosures-regarding-solarwinds-hack/

声明：本文来自安全内参，稿件和图片版权均归原作者所有。所涉观点不代表本站立场，转载目的在于传递更多信息。如有侵权，请联系本站，我们将及时按原作者或权利人的意愿予以更正。