美国证券交易委员会首次因网络安全起诉上市公司,首席信息官被追责
钛媒体APP
2023-11-17 21:36:40
0

原标题:美国证券交易委员会首次因网络安全起诉上市公司,首席信息官被追责

图片来源@视觉中国

文|InternetLawReview

2023年10月30日,美国证券交易委员会(SEC)对SolarWinds及其首席信息安全官(CISO)蒂莫西•布朗 (Timothy Brown)提起诉讼,指控该公司在多次公开披露其网络安全实践方面犯有证券欺诈行为,其中包括要求蒂莫西•布朗 (Timothy Brown)承担个人责任。

该诉讼主要针对2020年12月SolarWinds公司的产品Orion遭到大规模攻击、发生重大数据安全事故。这次攻击影响了包括美国五角大楼、国务院等政府机构在内的1.8万名客户,被称为“有史以来规模最大、最复杂的攻击”。

SEC此次起诉创造了多个“首次”:

SEC首次因网络安全风险误导和欺骗投资者而起诉一家上市公司;SEC首次因首席信息安全官(CISO)在网络安全失败中的责任而要求其承担个人责任SEC首次起诉一家因网络安全缺陷导致公司内部控制失败、无法保护其关键资产的公司。

美国证券交易委员会(SEC)提出指控之际,该机构正准备下个月开始在上市公司中执行新的网络安全披露规则,该规则要求公司在发生网络安全事件后几天内报告网络安全事件;不过,与此同时,国会山共和党人正在利用《国会审查法案》(CRA)的联合否决程序试图推翻这一规则

公司的首席信息安全官为何被要求承担个人责任?网络安全披露规则究竟利弊如何?美国上市公司应如何就网络安全执行新的部署?《互联网法律评论》将对此做出初步分析。

首席信息安全官(CISO)如何成为众矢之的?

就上市公司高管的履职责任而言,美国证券交易委员会(SEC)一直关注密切首席执行官(CEO)和首席财务官(CFO)两个职位。然而,针对 SolarWinds CISO 的指控意味着,在向投资公众提交的报告中公然遗漏重大事实的情况下,SEC将追究相关高管的责任。

诉状引用了蒂莫西•布朗 (Timothy Brown)涉嫌的具体错误陈述:从 2019 年到 2020 年,布朗发表了大量公开声明,声称该公司在博客、播客和网站上“专注于安全”和“网络最佳实践”。然而,事实上,SEC声称布朗知道该公司没有遵循这些最佳实践。

美国证券交易委员会的诉状充满了内部电子通信,包括电子邮件和即时消息,美国证券交易委员会认为,这些内容表明SolarWinds的员工知道网络安全实践是不够的。然而首席信息安全官(CISO)签署了次级认证,证明公司网络安全内部控制的充分性,SolarWinds高管们在向 SEC 提交的定期报告中依赖这些认证。

美国证券交易委员会(SEC)表示,SolarWinds在2020年遭受攻击期间,对其风险有具体的了解,但却在关于事件的声明中低估了这些风险,具有“误导性和虚假性”,而首席信息安全官(CISO)布朗在声明起草时参加了会议,他审查并确认了声明的准确性。如果这是真的,这是一个严重的指控,因为这隐含了欺骗的意图。况且,SEC还提出了基于过失的指控,这类指控要求证据标准较——SEC甚至并不需要证明布朗有此意图。

该案强调了“准确公开披露”的极端重要性。一方面,要求首席信息安全官(CISO)承担个人责任,这说明公开披露充分性的责任,最终将落在拥有和提供法律或法规要求的信息的“任何一个人身上”;另一方面,根据美国证券交易委员会(SEC)诉状提供的证据表明,上市公司应当对所有有关其安全态势的“公开声明”、以及通过电子邮件或聊天进行的“非正式讨论”,更加的谨慎,以确保其中内容的准确性,以免成为自证其罪的证据。

公开披露网络安全事件的利弊得失——共和党反对SEC规则

2023年7月,美国证券交易委员会(SEC)批准了新规则,要求上市公司在四个工作日内通过公开 8-K 备案报告“重大”网络事件,并在年度 10-K 报告中分享有关其整体网络安全策略的详细信息归档。

美国证券交易委员会(SEC)花了一年多的时间审议这些规则的细微差别,并收集网络安全专业人士、公司和其他利益相关者的反馈,最终的美国证券交易委员会(SEC)公布的规则与 2022 年 3 月首次提出的备受争议的原始规则草案有所不同,其中一处是:新规则增加了对报告构成国家安全威胁事件的新豁免。然而,只有美国司法部长可以授予此类豁免。

任何一家公司或多或少都会存在一些安全漏洞,披露这些信息对于投资者来说当然至关重要,然而,如果上市公司公开披露这些漏洞,网络攻击者也能阅读到,就可能会给公司带来进一步的风险。在美国证券交易委员会(SEC)征求意见过程中,利益相关者表示,在响应过程的早期泄露太多有关其网络安全系统,可能会使公司容易受到进一步攻击。美国证券交易委员会(SEC)考虑了这些意见,但让步却不多。

在SolarWinds安全事件当中,美国证券交易委员会(SEC)也承认,公司事件发生后仍在调查事件,因此许多事实可能尚不清楚,8-K表格可能并不能反应最真实准确的状况。公司可能会发现自己陷入了进退两难的境地——如果他们在披露信息时过于明确,而事实发生了变化,或者披露信息不够明确,可能又会被指控误导投资者。但是,该指控表明了证券监管者刻意选择了一种“更为激进的做法”

美国证券交易委员会(SEC)的做法显然激怒了美国另一派认为“信息披露弊大于利”的利益相关者和立法者。负责监督网络安全的美国众议院国土安全小组委员会主席、众议员Andrew R. Garbarino和参议员Thom Tillis正在领导国会审查法案,意欲推翻美国证券交易委员会(SEC)的网络安全披露规则。他们认为:

• 这一网络安全披露规则没有得到国会授权,是越权行为;

• 与国会的意图直接冲突,增加网络安全风险;

• 与美国其他机构产生重复要求,且因额外和不必要的报告要求而进一步加重网络安全人员的负担。

这两位议员都是各自商会委员会的成员,负责银行和金融服务事务,因此得到了银行界的大力支持。银行政策研究所(Bank policy Institute)、美国商会(U.S. Chamber of Commerce)、美国银行家协会(American Bankers Association)的相关负责人都纷纷表态,美国证券交易委员会(SEC)的新规则会让黑客们对公开信息的公司展开更大规模的攻击,可能干扰执法和情报机构阻止攻击者的努力,并应当寻求更好的方法来提高透明度、保护投资者和减轻蔓延风险

在美上市公司仍需对网络安全做出更谨慎的安排

然而,美国共和党想要推翻SEC网络安全规则的胜算并不大

且不说由于目前美国参议院由民主党控制,反对美国证券交易委员会(SEC)规则的决议将很难在参议院获得通过。由于《国会审查法案》(CRA)的结构和难度,它很少被成功使用,过往推翻规则的案例总共只有20起。

根据 1996 年制定的《国会审查法案》(CRA),国会可以提出联合否决决议来推翻某项规则。众议院和参议院必须批准该决议,而总统必须签署该决议;如果总统否决该决议,众议院和参议院必须推翻该否决。现实中,通常来自与前任不同政党的新总统入主白宫且其所在政党完全控制国会时才使用它。

不管该规则是否会被国会否决,网络安全仍旧会成为多方利益和监管目标交织的重要节点。上市企业更应当重视投资者利益和网络安全策略的平衡,特别是在证券监管者展示了对于向监管者和投资人披露“不准确”信息的行为采取零容忍态度之后

《互联网法律评论》摘取多位律师的实用合规建议,供在美上市企业参考:

1、重视公开声明和内部沟通文件

上市公司应考虑审查所有有关其安全态势的公开声明,以确保它们有证据支持,避免声明类似于“吹嘘”;同时考虑定期进行培训,所有员工应当了解,如果发生重大网络安全事件,内部非正式沟通中的内容将结合公司的公开披露内容,一并受到 SEC 和股东原告的审查,包括发布在公司网站上的文件、博客文章和会议上的演示。由于起草公开声明的员工与处理安全性的员工之间有时存在脱节,因此应该在职能领域和业务单位之间建立清晰的沟通渠道。

2、建立报告链

公司应该考虑建立一个报告链,通过将监管要求的披露程序与内部报告程序明确联系起来,赋予级别较低的员工与管理层中的某人分享他们观点的渠道和权力,而不仅仅是向首席信息安全官(CISO)报告。同时,对于涉及关键问题的披露流程,如网络泄露,公司应鼓励负责任的高管评估相关风险和控制点,及时提供必要的信息,了解相关数据的来源。这样,管理层就可以依靠整个网络安全部门了解已识别的风险,而不仅仅是依赖一个人。

3、内部强调高管的个人责任

SolarWinds遭美国证券交易委员会(SEC)起诉表明,任何故意隐瞒问题不予披露的个人都可能面临个人责任。公司内部也应当强调,高级管理层,包括首席信息安全官(CISO)和其他高级网络或IT员工,首先应当与做出披露决定的个人分享网络安全事件的存在和影响,其次应该确保他们分享的信息是准确的。

4、设计一套网络安全事件决策的评估体系

美国证券交易委员会(SEC)尚未发布公司可用于评估网络事件重要性的具体指南或框架,但根据SEC对财务重大错报的指南经验,预计 SEC将要求公司对定量和定性因素进行类似的严格评估。更重要的是,公司应当对网络安全事件建立一套合理的评估体系,以做出需要披露、更重要的是不需要披露的正确决策。以下网络安全重要性框架可作为评估体系的参考:

图片:示例性网络安全重要性框架(图片来源:AlixPartner律所)作者:《互联网法律评论》

相关内容

热门资讯

工行“工盈研选”扩容上新 广发... 上证报中国证券网讯(记者 何漪)近日,工商银行“工盈研选”基金销售服务品牌扩容升级,在原有“安盈”“...
全球银行业排名出炉:158家中... 2026年,共有158家中国境内银行登榜,较2025年增加15家;7家中国境内银行进入全球前10,较...
官宣 | 深度智控完成数亿元 ... 近日,物理 AI 企业深度智控(DeepCtrls)完成数亿元 B 轮融资。本轮融资由晶科能源战略投...
2026全球跨境电商交易博览会... 杭州7月9日电 (奚金燕)2026全球跨境电商交易博览会9日在杭州启幕,吸引40余家覆盖北美、欧洲、...
宇树越火,优必选越急 文 | 硅基研究室,作者 | kiki 关于和竞争对手的关系,美团创始人王兴有一个精辟的比喻: 开...
港交所聚焦股东价值 老铺黄金多... 7月8日,港交所正式上线“聚焦股东价值”专属页面,上市仅两年、今年3月纳入恒生指数的 老铺黄金(06...
一汽集团供应商冲击北交所IPO... 瑞财经 王敏 6月30日,江苏林泉汽车零部件股份有限公司(以下简称“林泉股份”)北交所IPO获受理,...
“数千只猫咪突发不明原因瘫痪”... 近日,关于“数千只小猫后肢瘫痪”的事件在网络及宠物社交圈引发广泛关注。 据媒体报道,多位消费者表示,...
从网红打卡到难以复购 啤酒交易... 夏日傍晚6点,朝阳合生汇大门口,一座银灰色的环形金属装置前围满了人。装置上方的环形LED大屏滚动着红...
原创 印... 文/王新喜 前脚刚对着中资连砍三刀,配额砍七成、矿价翻一倍、股权强要求,坑了中企一把后,印尼隆重请来...
3551人才企业获B+轮融资,... 近日,3551人才企业——武汉森木磊石有限公司(以下简称“森木磊石”)宣布顺利完成B+轮融资。本次融...
腾讯终于上桌了? 出品|虎嗅黄青春频道 作者|商业消费主笔 黄青春 题图|视觉中国 7 月 6 日,腾讯混元 Hy3 ...
字节、美团、亚马逊都在“收拾”... 来源:虎嗅网 本文来自微信公众号: 青萍见 ,作者:shushuhn 2026年春夏,字节跳动完成...
挂牌1547万!广州农商行继续... 继出售江苏两家珠江村镇银行后,广州农商行继续剥离省外村镇银行。近日,广州农商行在南方产权交易中心挂牌...
原创 A... 智谱这波配股比IPO募资还多6倍! 作者 | 贾紫聪 于婞 编辑丨高岩 来源 | 野马财经 港股“A...
“物理AI第一股”来了!Mom... 来源:直通IPO,文/韩文静 “物理AI的ChatGPT时刻已经到来。” 7月8日,Momenta正...
月收益60%、100%中签新股... AI时代,券商App被仿冒欺诈投资者的骗局愈演愈烈。 7月2日,金融街证券官微通报,近期北京警方发现...
桃李面包否认核心生产基地关停传... 消费日报-今朝新闻讯 7月8日,桃李面包(603866.SH)在官网发布澄清声明,回应近期关于注销全...
铂科新材递表港交所 中信证券为... 铂科新材向港交所主板提交上市申请,中信证券为独家保荐人。 铂科新材是一家全球领先的合金软磁粉末制品提...
今年上半年贵州铁路累计完成货物... 记者7月9日从贵阳铁路物流中心获悉,今年上半年贵州铁路累计完成货物发送量283万吨,同比增长5.28...