美国证监会指控SolarWinds及其CISO涉嫌欺诈

美国证券交易委员会对IT管理供应商SolarWinds及其首席信息安全官提起的指控，为信息安全行业带来了重大疑问。这些指控发生在SolarWinds客户（包括科技巨头和美国政府）因供应链攻击而遭受入侵事件曝光近三年后。

该攻击源于Orion软件更新被攻击者植入恶意代码。本周，SEC以欺诈和内部安全控制失效为由，对SolarWinds及其CISO Timothy Brown提起诉讼。

SEC在宣布指控的新闻稿中声称，从至少2018年10月到2020年12月违规披露期间，“SolarWinds和Brown通过夸大SolarWinds的网络安全实践，以及低估或未能披露已知风险来欺骗投资者”。

新闻稿指出：“在此期间向SEC提交的文件中，SolarWinds据称仅披露了泛泛而谈的假设性风险，而当时公司和Brown都知道SolarWinds网络安全实践存在具体缺陷，以及公司同时面临的日益增加的风险。”

委员会还声称，包括Brown在内的员工曾质疑SolarWinds保护其关键资产免受网络攻击的能力，并指控Brown知晓公司风险但“未能解决问题，有时也未能在公司内部充分提出这些问题”。

在本期Risk & Repeat播客中，TechTarget编辑Rob Wright和Alex Culafi讨论了SEC对SolarWinds和Brown提出的指控，这对其他CISO可能意味着什么，以及它可能如何改变监管格局。

Alexander Culafi是驻波士顿的信息安全新闻撰稿人、记者和播客主持人。