SEC 指責 SolarWinds 的 CISO 在俄羅斯駭客攻擊之前對投資者進行誤導
事件簡介
美國證券交易委員會(SEC)指控 SolarWinds 及其頂級資訊安全主管 Timothy Brown 涉嫌詐欺和內部控制失敗,理由是他們在俄羅斯駭客於 2019 年發動的駭客攻擊之前向投資者虛假陳述了公司的資訊安全措施。SEC 在週一晚間發表的宣告中表示 SolarWinds「據稱透過只披露一般性和假設性風險」欺騙了投資者,當時 SolarWinds 和 Brown 都知道 SolarWinds 的安全措施存在「明確缺陷」,且公司面臨的風險日益增加。SEC 的控訴指責該公司提出了一些宣告,包括自身資訊安全措施,與其內部評估存在碰撞。SEC 指出,Brown 曾在駭客攻擊之前幾年做過介紹,聲稱該公司的安全措施處於「極不穩定的狀態」。然而該聯邦監管機構表示 Brown 未能充分提高公司的安全風險或解決問題。SEC 執法部門負責人 Gurbir S. Grewal 表示 SolarWinds 和 Brown「無視了反復出現的警告訊號」,「進行了一場為公司的資訊安全環境繪製虛假圖景的行動,從而剝奪了投資者獲取準確的重要訊息的權利」。Grewal 表示:「此次執法行動不僅指責 SolarWinds 和 Brown 誤導投資者並未保護公司的 '王牌' 資產,還強調了我們向發行人的訊息:要實施針對風險環境的強大控制措施並向投資者透露已知問題」。
分析及評論
這起事件凸顯了企業在現今數位環境中面對的資安風險以及相關企業倫理和道德問題。SolarWinds 及其資訊安全主管被指控在俄羅斯駭客攻擊發生前誤導投資者,隱瞞了公司的安全問題。這種行為涉及道德問題,因為企業對投資者有責任提供準確的訊息,特別是與資安相關的風險。如果企業隱瞞或故意誤導投資者,將對市場的信心造成不良影響。
此次 SEC 的起訴也引發了關於資訊安全問題在企業治理中的角色的思考。作為現代企業中重要的資產和風險,資訊安全應該受到高度關注和優先考慮。企業應該建立強大的資訊安全措施,並在進行風險評估時對潛在問題保持透明度。同時企業高層應該要重視資安問題,與資訊安全主管密切合作,確保內部控制制度得到有效執行。資訊安全應被視為一個企業的基本需求,並得到全面而認真的對待。
建議
基於這起事件的教訓,企業應該加固自身的資訊安全措施,並重視資訊安全的風險評估工作。避免隱瞞安全問題或故意誤導投資者,並及時解決發現的問題。企業應該與資訊安全主管建立良好的合作關係,確保內部控制制度得到有效實施。同時企業應該加固內外部溝通,與投資者、監管機構等利益相關方保持透明並分享相關資訊,以構建良好的企業治理和風險管理體系。
此外政府和監管機構應該在規範層面加固對資訊安全和企業治理的監督和指導。加固對企業與投資者之間訊息披露的要求,以提高市場的透明度和投資者的保護。同時政府和監管機構應該透過相應法規和政策來推動企業實施優秀的資訊安全措施,以保障國家的網路安全和經濟穩定。
事件的進一步發展將吸引更多的關注,同時也提醒企業和投資者資訊安全的重要性。唯有確保資訊安全,企業才能在這個數位化時代獲得成功並保護投資者的利益。
延伸閱讀
- 羅斯頓汽車前 CEO 落馬!涉嫌誤導投資人,與 SEC 和解
- SEC 透過氣候披露規則,助力碳減排新創公司站穩腳跟
- Farcaster 引發熱潮,Bluesky 公開對外,SEC 的 Hester Peirce 開放新的代幣提案
- SEC 比特幣變革︰Hester Peirce 促進「代幣安全港」計畫
- 幣安要求法庭駁回 SEC 的「證券違規」指控
- SEC 要求破產的 Lordstown Motors 支付 4500 萬美元
- Do Kwon 與 Terraform Labs 要求法官拋棄 SEC 的訴訟
- SEC 專員發表異議宣告,反對監管機構對 LBRY 的案件
- 加密貨幣母親批評 SEC 對 LBRY 加密代幣的無情手段
- SEC 要求換取和解金額達到 7.7 億美元-XRP 持有者法定代表表示
