解析SEC对SolarWinds的指控:网络安全与监管新格局

本文深入分析美国证券交易委员会对SolarWinds及其首席信息安全官提起的欺诈指控,探讨该公司在2018-2020年间如何被指控隐瞒网络安全风险,以及这对信息安全行业和CISO职责带来的重大影响。

Risk & Repeat: 解析SEC对SolarWinds的指控

作者:Alexander Culafi,Dark Reading高级新闻撰稿人
发布日期:2023年11月1日

相关播客

  • Risk & Repeat: SEC加强网络安全披露监管
  • Risk & Repeat: 解析Joe Sullivan定罪案
  • 播客:RSA 2025 - AI风险面与CISO角色
  • Risk & Repeat: SolarWinds攻击事件聚焦
  • 查看所有播客

内容概述

美国证券交易委员会对IT管理供应商SolarWinds及其首席信息安全官提起的指控,指控其涉嫌误导投资者,这对信息安全行业提出了重大疑问。

这些指控是在SolarWinds客户(包括科技巨头和美国政府)遭受供应链攻击近三年后提出的。该攻击源于Orion软件更新被植入恶意代码。本周,SEC以欺诈和内部安全控制失效为由对SolarWinds及其CISO Timothy Brown提起诉讼。

SEC在宣布指控的新闻稿中称,从至少2018年10月到2020年12月漏洞披露期间,“SolarWinds和Brown通过夸大SolarWinds的网络安全实践、低估或未披露已知风险来欺诈投资者”。

新闻稿指出:“在此期间,SolarWinds在向SEC提交的文件中,仅披露了泛泛而假设的风险,而当时公司和Brown已知晓SolarWinds网络安全实践中的具体缺陷以及公司面临的日益增加的风险。”

委员会还声称,包括Brown在内的员工对SolarWinds保护关键资产免受网络攻击的能力提出质疑,并指控Brown知晓公司风险但“未能解决问题,或有时未在公司内部充分提出这些问题”。

在本期Risk & Repeat播客中,TechTarget编辑Rob Wright和Alex Culafi讨论了SEC对SolarWinds和Brown的指控,这对其他CISO可能意味着什么,以及它如何改变监管格局。

订阅Risk & Repeat播客(Apple Podcasts)。

Alexander Culafi是驻波士顿的信息安全新闻撰稿人、记者和播客主持人。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次