美国证券交易委员会(SEC)与SolarWinds近日就一场具有标志性的网络欺诈诉讼达成和解协议,背后是监管机构控制权的重大转变。
该拟议和解协议目前仍需提交SEC全体委员审议批准,自2025年1月以来,SEC由共和党主导。联邦法官Paul Engelmayer已要求双方若在9月12日前未提交最终和解文件,须递交联合状态报告。原定于7月22日的口头辩论也因和解进展而被暂停。
“法院祝贺各方律师促成此积极进展。” Engelmayer法官在暂停动议中表示,“法院暂停所有待提交的文件截止日期,并取消原定口头陈述。”
双方为何走到和解
SEC于2023年10月提起诉讼,指控SolarWinds及其高管在2018至2020年期间误导公众披露其网络安全状况。尽管法官Engelmayer在2024年7月驳回了大部分指控,但允许其中一项继续,即:在2020年12月“Orion软件供应链攻击披露”前,SolarWinds发布了一个可能具有误导性的安全声明。
Engelmayer认为,陪审团有理由相信SolarWinds在网络入侵前发布的安全声明存在虚假成分,其所宣称的访问控制与密码策略与内部记录明显不符。公司CISO Tim Brown明知系统存在问题,却仍允许该声明长期公开发布,其行为或已构成“高度不合理或极端不当行为”。
“Brown明知大量数据反驳该安全声明内容,却仍选择对外发布并长期保留,行为可被合理认为是极端不当。”
——Engelmayer(2024年7月判决书)
在法官作出上述裁决后,双方尝试进行和解谈判,但SolarWinds及其律师曾表态难以接受SEC最初的和解方案,甚至建议引入第三方调解人。随着谈判破裂,SEC开始寻求前SolarWinds工程师作证,该工程师曾记录下与VPN访问及非托管设备有关的安全隐患。
SEC认为,该工程师Robert Krajcir对Active Directory凭据如何被用于VPN连接有重要见解,是唯一拥有该时期网络结构技术视角的证人。然而Krajcir拒绝自愿作证,促使SEC寻求法院协助。
和解背后的政治风向转变
SEC最初寻求的惩罚力度极大,包括禁止CISO Tim Brown担任上市公司高管,并要求返还所谓的非法所得。然而,SEC委员构成自2025年1月起发生变化:
由民主党主导转为共和党主导,并出现了对当前监管模式的质疑与反思。
在2024年,三名民主党任命的委员曾推动Check Point与Mimecast各支付100万美元罚款,以了结与Orion攻击相关的信息披露指控。对此,两位共和党委员Hester Peirce与Mark Uyeda公开反对:
“事后诸葛亮式地要求披露无关紧要信息,并不能真正保护投资者。”
Peirce与Uyeda也对SEC依据“网络安全管理不善”起诉证券欺诈的先例做法表达质疑。他们认为,SEC不应将遭受网络攻击的公司当作“肇事者”处理:
“网络安全事件只是企业面临的众多问题之一,监管机构应将受害企业视为受害者,而非犯罪者。”
SolarWinds方面也承认公司存在部分安全缺陷,但强调这并不构成“故意欺诈”。律师称,SEC所发现的问题要么已被修复,要么不至于需要对投资者公开披露,而监管部门正在将行业性挑战错误归咎于企业本身。
妥协的土壤:法律模糊+舆论高压
随着政治局势转变,SEC与SolarWinds都意识到此类“无先例案件”中陪审团的判断存在巨大不确定性:
-
对SEC来说:不必冒险在灰色地带的审判中败诉,即可收获对行业的警示与声誉收益;
-
对SolarWinds来说:避免因旷日持久的审判而承受进一步的财务与品牌损失。
在网络安全责任边界尚未清晰立法定义的背景下,此类和解为监管与业界提供了一个可接受的妥协样本。
发表评论
您还未登录,请先登录。
登录