美国证券交易委员会加大大规模黑客调查力度
纽约:美国证券交易委员会(SEC)正在询问科技和电信公司如何处理2020年太阳风公司(SolarWinds)的大规模网络攻击,此举引发了网络安全行业和大企业的抨击,因为他们称之为越权。
知情人士说,在大规模黑客攻击事件发生后,SEC一直在向更多受害公司寻求信息。知情人士说,SEC一直在改进调查内容,但他们没有指明是哪些公司。
知情人士表示,监管机构已要求就网络攻击的影响进行内部沟通,调查企业安全方面的漏洞和其他网络事件。由于讨论私事,这些人士要求不具名。
此次调查的部分目的是确定这些公司可能知道但没有披露的信息。去年10月,SEC对太阳风公司提起了具有里程碑意义的诉讼,指控该公司未能保持足够的控制,并通过淡化安全风险欺骗投资者。
SolarWinds是德克萨斯州的一家软件公司,其旗舰产品在这次攻击中被用作特洛伊木马。
针对受害公司的调查力度加大之际,sec的监管雄心正遭到更广泛的反对。强大的贸易和游说团体批评了加里·詹斯勒(Gary Gensler)领导下的美国证交会对气候政策、加密货币、市场结构、贸易处理等方面的监管。
美国商会(US Chamber of Commerce)虽然不是太阳风公司诉讼案的当事人,但还是在上个月提交了一份简报,要求法院考虑它的观点——它认为SEC做得太过分了。
美国商会和商业圆桌会议(Business Roundtable)在曼哈顿联邦法院提交的“法庭之友”简报中指出,sec“不断攫取权力”的做法,使企业在如何设计内部控制方面处于不确定状态和法律风险之中。
商业圆桌会议的成员包括苹果公司的蒂姆·库克、花旗集团的简·弗雷泽和摩根大通的杰米·戴蒙等重量级人物。
SolarWinds案是“SEC在网络安全方面执法计划的一个分水岭,”SEC执法部门前助理主任珍妮弗?李(Jennifer Lee)表示。该部门正在进行此次调查,她现在是詹纳布洛克律师事务所(Jenner & Block LLP)的合伙人。
在数据泄露事件发生后,委员会在审查上市公司的信息披露方面变得“非常积极”,“现在,在SolarWinds的案件中,委员会正将重点转向公司在网络安全事件发生前的公开声明,”李说,他预测这起诉讼可能是未来案件的一个迹象。SEC发言人拒绝置评。
在这次历史性的网络攻击中,恶意代码被安装在软件更新中。
SolarWinds的Orion软件是黑客用来在9个联邦机构和约100家公司制造数字浩劫的武器之一,其中包括网络设备制造商思科系统公司和网络安全公司FireEye公司,即现在的Mandiant公司。
目前尚不清楚这两家公司是否在SEC要求提供信息的公司之列。
律师们表示,这起诉讼可能是对证交会工具之一的首次法律考验:半个世纪前,国会要求上市公司保持某些“内部会计控制”,以防止贿赂外国官员,这是国会的本意。
商业贸易组织表示,该机构歪曲了法律,将其适用于网络犯罪的企业受害者,实际上将“会计”从等式中剔除。
“这场诉讼的结果将影响到每一家上市公司,”这些团体的律师妮可·弗里德兰德(Nicole Friedlander)在一份声明中表示。“这是SEC第一次声称有权惩罚那些被指未能控制其拥有的任何资产(不限于资产负债表资产)的公司。”
SolarWinds的律师Serrin Turner表示,这起案件“毫无根据,史无前例”。
他在一份声明中表示:“企业界呼吁驳回此案,因为SEC正试图扩大网络安全披露义务,远远超出法律要求。”
从委员会的角度来看,网络安全控制是内部会计控制,因为它们是为了保护公司资产,该机构表示,太阳风未能做到这一点。
美国证券交易委员会执法主管Gurbir Grewal在本月的一次会议上表示,SolarWinds的公开言论与高管们的内部言论之间存在脱节。
在网络攻击发生后,SEC致信多家它认为受到影响的公司,以确定它们是否向投资者进行了适当的披露,是否存在与网络攻击相关的可疑交易,以及私人数据是否遭到泄露。
这封信来自执法部门,该部门负责调查和惩罚公司,但为了鼓励合作,该机构表示不会惩罚那些自愿分享数据的公司。
这起诉讼于两年后提起,在网络安全行业引发了轩然大波,一些人认为这可能会阻碍未来与政府的合作。格里瓦尔在证券业和金融市场协会会议上反驳了这一观点。
他说:“没有人要求你给出黑客是如何侵入的、从哪里侵入的蓝图。”
这些商界领袖指出,SEC内部对执法策略持怀疑态度。2020年,能源公司Andeavor同意支付2000万美元来解决有关股票回购的索赔。三年后,Charter Communications Inc在一起类似案件中支付了2500万美元。
每个案件都引起了两名SEC委员的反对,他们对法律工具的使用表示担忧。- - - - - -布隆伯格
×
相关文章
最新评论