美国证券交易委员会(Securities and Exchange Commission,SEC)周二(10/22)针对4家业者祭出了罚款,原因是它们在遭到SolarWinds被骇事件的波及时,对外试图淡化其影响,危害了股东与投资人的权益,包括Unisys、Avaya、Check Point与Mimecast。
SolarWinds为一专门开发网路、系统与IT管理软体的美国业者,旗下的IT监控平台Orion在2020年12月遭到骇客渗透,骇客入侵了Orion的更新机制,于特定的Orion版本中植入Sunburst木马程式,估计在3.3万家Orion客户中,有1.8万家安装了含有Sunburst的Orion,间接受害的除了众多的美国联邦组织之外,还包括FireEye、微软、思科、英特尔与Nvidia等业者。
不过,SEC发现,同样受到SolarWinds被骇事件危害的Unisys、Avaya、Check Point与Mimecast,对外提供了误导性的披露,而让投资人对此一资安事件的真实影响范围一无所知。
调查显示,Unisys、Avaya与Check Point是在2020年,而Mimecast是在2021年发现,渗透SolarWinds的骇客曾经入侵它们的系统,但它们在公开披露中全都淡化了此一资安事件。
例如Unisys就算已经知道已被SolarWinds骇客入侵两次,资料也外泄了,对外却还是以假设性的口吻来描述该风险,原因之一是因Unisys的揭露控制含有缺陷。Avaya则仅对外宣称骇客存取了有限的电子邮件,但事实上骇客还存取了其云端档案共享环境中的145个档案。
至于Check Point尽管知道自己被入侵,却以笼统的术语描述了该网路入侵活动与相关风险;Mimecast则未充份披露骇客所窃取的程式码性质,以及所存取的凭证数量,试图淡化该攻击的严重性。
SEC加密资产及网路部门的代理负责人Jorge Tenreiro表示,淡化重大网路安全事件是一个糟糕的策略,上述的两个案例中,就算企业已经知道风险已经发生时,竟然还用假设性的说法来描述,违反了联邦证券法令。
上述业者皆已同意支付罚款,其中,Unisys将支付400万美元,Avaya为100万美元,Check Point是99.5万美元,而Mimecast也要支付99万美元。