美国证券交易委员会(SEC)近日首次因网络安全风险误导和欺骗投资者而起诉一家上市公司,并对首席信息安全官(CISO)蒂莫西·布朗(Timothy Brown)提起个人责任诉讼。此次诉讼的对象是SolarWinds公司在2020年遭受大规模网络攻击,导致数据安全事故,进一步影响了包括美国五角大楼、国务院等政府机构在内的1.8万名客户。SEC指控SolarWinds和它的CISO布朗在多次公开披露其网络安全实践方面犯有证券欺诈行为。这是SEC首次因网络安全风险误导投资者而起诉上市公司,首次因CISO在网络安全失败中的责任而要求其承担个人责任,以及首次起诉因网络安全缺陷导致公司内部控制失败无法保护其关键资产的公司。
在这场诉讼中,SEC表示,SolarWinds公司在网络攻击发生后,其公开声明的安全实践和实际执行之间存在误导。SEC称,尽管公司强调其网络安全,但实际上并未遵循最佳实践。SEC在诉讼中指出,在2019年到2020年期间,CISO布朗发表了关于公司“专注于安全”和“网络最佳实践”的声明,SEC声称布朗知道公司没有遵循这些最佳实践。
此次诉讼在美国证券交易委员会(SEC)准备执行新的网络安全披露规则之际提起,要求公司在发生网络安全事件后几天内报告。该诉讼表明,上市公司应更加重视准确公开披露网络安全事件,首席信息安全官(CISO)在网络安全实践中承担个人责任。SEC的建议是,公司应审查所有有关安全态势的公开声明,建立报告链,强调高管个人责任,并设计一套网络安全事件决策的评估体系。
