审查最近公布的由美国国税局公布的生活费用调整数, 1月1日生效, 2021. ...
本网站使用cookie,以确保我们给您最好的用户体验. cookie协助导航,分析流量和我们的营销工作,如我们的 隐私政策.
美国.S. 美国证券交易委员会(SEC)指控SolarWinds和首席信息安全官蒂莫西·布朗(Timothy Brown)在SolarWinds的网络安全实践和控制方面误导投资者.
的 SolarWinds黑客 成为2020年的头条新闻,是历史上最大的网络安全漏洞之一. 这次大规模的数据泄露导致了全球供应链事件,影响了30多家公司,000个组织, 包括联邦国土安全部, 正义, 能源, 财政部和商务部, 以及微软和思科等全球性公司.
美国.S. 俄罗斯政府正式点名俄罗斯对外情报局(Russian Foreign Intelligence Service)为肇事者,但也暗示将对太阳风公司的高管提出指控,罪名是他们在此次泄密事件中所扮演的角色. 上周一,SEC正式对这种投机行为提出指控 太阳风和蒂莫西·布朗 :
美国证券交易委员会认为,SolarWinds知道具体的漏洞和糟糕的网络控制,但在2018年10月首次公开发行(ipo)和2020年12月宣布黑客攻击期间,他们选择忽视这些漏洞.
的 投诉称 太阳风关于其网络安全实践和风险的公开声明与其内部评估不一致, 包括2018年一名公司工程师的内部报告,其中提到了对漏洞的担忧, 而且他们 的阳光 披露报告本身并不完整.
SEC还认为,布朗故意误导投资者 没有公开披露所谓的网络安全故障 在违约之前, 包括虚假声明“太阳风拥有强大的密码政策和强大的访问控制,尽管多年来一直保持薄弱的控制,授予员工管理权限”。.
也许最具破坏性的指控是布朗承认SolarWinds的猎户座软件的后端没有弹性,并且知道之前对它的攻击, 到底是哪款软件部署了恶意代码,导致了2020年历史性的数据泄露.
诉状寻求“永久性禁令救济”, 带有预先判断的兴趣的贬损, 民事处罚, 以及一名官员和一名董事反对布朗。”. 这种情况是独特的,因为 原因如下包括,这是SEC首次:
“我们这么说, 多年来, SolarWinds和Brown忽视了关于SolarWinds网络风险的反复警告, 哪些是全公司众所周知的,” Gurbir Grewal,证券交易委员会执法部门主任. “而不是解决这些漏洞, SolarWinds和Brown参与了一场活动,为该公司的网络控制环境描绘了一幅虚假的画面, 从而剥夺了投资者获得准确的重要信息的权利.”
SolarWinds发表声明反驳SEC的指控,称这些指控毫无根据. 的 声明 也证实他们将在法庭上对抗指控,并强调他们对布朗的全力支持, 写这篇文章的时候,谁还是他们的代理首席信息安全官.
证券高管应该担心SEC对太阳风公司的指控吗?
在理论上, 安全管理人员不应担心因事件而受到指责, 前提是, 尽其所能, 他们对董事会是诚实的, 公众(如适用), 监管机构和投资者.
最重要的是, 他们必须遵守联邦披露法和报告要求——证交会认为,在这起案件中,这些公司故意不遵守这些要求,这也是这起诉讼的依据.
上一次安全专业人员因与网络安全事件有关而受到指控是在2016年优步(Uber)数据泄露事件之后. 时任优步首席安全官的乔·沙利文(Joe Sullivan)被指控 妨碍司法公正 获奖理由是“故意隐瞒”, 转移, 并就违规行为误导联邦贸易委员会.”
重要的是要记住,这些指控不是因为攻击发生了,而是因为SolarWinds和Brown据称知道漏洞和事件,并故意选择误导投资者并提供不完整的披露.
So, 而许多头条新闻可能会认为ciso和cso正在成为网络攻击的替罪羊, 本案表明,他们的法律责任实际上是基于所谓的个人行为, 投资者沟通和公开声明, 同时也要遵守联邦信息披露法,这些法律只会 更严格的 在公共部门.
另一方面, 鉴于美国证券交易委员会和美国联邦贸易委员会最近的审查, 有理由认为,安全主管应该关注他们如何在内部和公开场合展示公司的网络安全实践, 更重要的是, 监管机构如何看待这些案件中的责任负担. 如果您考虑公共政策与组织内部现实不一致的频率, 你可以看到一些人对这个案子的担忧.
如果CISO或CSO真诚地努力建立, 记录和执行网络安全控制和实践, 但它们并没有被强制执行, 只有首席信息安全官或首席信息安全官被问责公平吗? 还是应该把责任推给公司?
更复杂的问题可能是:组织如何在日益复杂的监管环境中更好地支持他们的安全主管, 信息披露要求, 投资者的需求和联邦法律首先要防止这种情况的发生?
你觉得呢?? 请在 (电子邮件保护).
施耐德唐斯网络安全实践由提供全面信息技术安全bet9平台游戏的专家组成, 包括渗透测试, 入侵防御/检测审查, ransomware安全, 脆弱性评估和一个健壮的数字取证和事件响应团队. 此外,我们的 数字取证和事件响应 如果您怀疑或正在经历任何类型的网络事件,团队可以拨打1-800-993-8937,24x7x365.
要了解更多信息,请访问我们专门的 网络安全 页面.
想要了解情况? 订阅我们的双周通讯, 关注网络安全.