Risk & Repeat：剖析SEC对SolarWinds的指控

美国证券交易委员会对IT管理供应商SolarWinds及其首席信息安全官提起的指控，称其涉嫌误导投资者，这给信息安全行业带来了重大疑问。

这些指控是在SolarWinds客户（包括科技巨头和美国政府）遭受供应链攻击近三年后提出的。该攻击源于Orion软件更新被攻击者植入恶意代码。本周，SEC以欺诈和内部安全控制失效为由对SolarWinds及其CISO Timothy Brown提起诉讼。

SEC在宣布指控的新闻稿中声称，从至少2018年10月到2020年12月违规披露期间，“SolarWinds和Brown通过夸大SolarWinds的网络安全实践，并低估或未能披露已知风险，欺诈了投资者”。

新闻稿称：“在此期间向SEC提交的文件中，SolarWinds据称仅披露了泛泛而假设的风险，而当时公司和Brown已知晓SolarWinds网络安全实践中的具体缺陷，以及公司面临的日益增加的风险。”

委员会还声称，包括Brown在内的员工对SolarWinds保护关键资产免受网络攻击的能力提出了质疑，并指控Brown知晓公司风险但未能“解决问题，或有时未能在公司内部充分提出这些问题”。

在本期Risk & Repeat播客中，TechTarget编辑Rob Wright和Alex Culafi讨论了SEC对SolarWinds和Brown提出的指控，这对其他CISO可能意味着什么，以及它如何可能改变监管格局。

在Apple Podcasts上订阅Risk & Repeat。

Alexander Culafi是驻波士顿的信息安全新闻撰稿人、记者和播客主持人。