SEC的指控包括:当年太阳风公司的一份内部报告称,该公司的网络“不是很安全”,这意味着它很容易受到黑客攻击,可能导致“重大声誉和经济损失”。美国证券交易委员会称,在2019年和2020年期间,包括布朗在内的SolarWinds员工之间的多次通信“质疑该公司保护其关键资产免受网络攻击的能力”。
SolarWinds总部位于德克萨斯州奥斯汀市,为全球数十万家组织提供网络监控和其他技术服务,其中包括大多数财富500强公司和北美、欧洲、亚洲和中东的政府机构。
这场持续了近两年的间谍活动,通过在该公司网络管理软件的更新通道中植入恶意软件,感染了数千名客户。利用对供应链的黑客攻击,俄罗斯网络运营商随后秘密渗透了选定的目标,包括大约十几个美国政府机构和著名的软件和电信提供商。
SolarWinds在声明中称,SEC的行动是“该机构越权的一个例子,应该引起全国所有上市公司和致力于网络安全的专业人士的警惕。”
它没有解释证交会的行动如何可能使国家安全面临风险,尽管网络安全界的一些人辩称,让企业信息安全官员对已发现的漏洞承担个人责任,可能会使他们不那么努力地发现漏洞,并阻碍合格的人渴望担任这类职位。
在拜登政府的领导下,SEC一直积极要求上市公司为网络安全失误和未披露漏洞负责。今年7月,它通过了一项规定,要求它们在四天内披露所有可能影响其利润的网络安全漏洞。如果立即披露对国家安全或公共安全构成严重风险,则允许延迟披露。
SolarWinds黑客攻击的受害者,他们的微软电子邮件账户被入侵,包括纽约联邦检察官办公室、当时的代理国土安全部部长查德·沃尔夫(Chad Wolf)和该部门的网络安全工作人员,他们的工作包括搜寻来自外国的威胁。