美国证券交易委员会指控SolarWinds及其CISO涉嫌欺诈和安全控制失效

美国证券交易委员会（SEC）对IT管理供应商SolarWinds及其首席信息安全官（CISO）的指控，指控他们涉嫌误导投资者，这对信息安全行业提出了重大疑问。

这些指控是在近三年前SolarWinds客户（包括科技巨头和美国政府）因供应链攻击而受损后提出的。攻击者通过Orion软件更新植入了恶意程序。本周，SEC以欺诈和内部安全控制失效为由对SolarWinds及其CISO Timothy Brown提起诉讼。

在宣布指控的新闻稿中，SEC声称，从至少2018年10月到至少2020年12月违规披露期间，“SolarWinds和Brown通过夸大SolarWinds的网络安全实践和低估或未能披露已知风险来欺诈投资者”。

“在此期间向SEC提交的文件中，SolarWinds据称通过仅披露通用和假设性风险来误导投资者，而当时公司和Brown知道SolarWinds网络安全实践存在具体缺陷，以及公司面临的日益增加的风险，”新闻稿写道。

委员会还声称，包括Brown在内的员工质疑SolarWinds保护其关键资产免受网络攻击的能力，并指责Brown意识到公司的风险但未能“解决问题或有时在公司内部充分提出这些问题”。

在本期的Risk & Repeat播客中，TechTarget编辑Rob Wright和Alex Culafi讨论了SEC对SolarWinds和Brown的指控，这可能对其他CISO意味着什么，以及它如何可能改变监管格局。

订阅Risk & Repeat播客于Apple Podcasts。

Alexander Culafi是一名信息安全新闻撰稿人、记者和播客主持人，常驻波士顿。