logo
繁体
繁体

美证监会对SolarWinds黑客攻击展开大范围调查,数百家美企恐被追责

据六位知情人士向路透社透露,美国证券交易委员会(SEC)对SolarWinds俄罗斯黑客行动的调查,让数十位企业高管担心,在不断扩大的调查中发现的信息将使他们面临责任。

Photo on Pxfuel

根据与路透社分享的信件细节,SEC要求各公司交出2019年10月以前的“任何其他 ”数据泄露或勒索软件攻击的记录。SolarWinds提供的产品遍及整个美国的企业。

知情人士说,这些要求可能会揭示许多与俄罗斯间谍活动无关的未报告的网络事件,使得SEC罕见地深入了解以前未知的事件,而这些公司很可能从未打算向其披露。

一位与最近收到请求的几十家上市公司合作的顾问说:“我从来没有见过这样的事情。公司所担心的是,他们不知道SEC将如何使用这些信息。而且大多数公司都有未报告的违规行为。”

SEC的一位官员说,这项要求的目的是寻找与SolarWinds事件相关的其他违规事件。

SEC告诉各公司,如果他们自愿分享有关SolarWinds黑客事件的数据,他们将不会受到惩罚,但没有对其他泄露事件提供这种豁免。

网络攻击的频率和影响都在增加,在过去一年中引起了白宫的深切关注。美国官员指责公司没有披露此类事件,认为这掩盖了问题的严重性,使股东、政策制定者和寻找最严重违法者的执法部门无法了解。

熟悉SEC调查的人士告诉路透社,这些信件发给了数百家公司,包括许多科技、金融和能源行业的公司,他们被认为可能受到了SolarWinds攻击的影响。这个数字超过了国土安全部所说的100家下载了SolarWinds漏洞软件后被利用的公司。

自去年以来,只有大约二十家公司被公开认定受到影响,其中包括微软、思科系统、火眼和英特尔。在为本次报道而联系的公司中,只有思科确认收到了SEC的信件。思科的一位发言人说,已经对SEC的要求做出了回应。

网络安全研究还表明,软件制造商Qualys和石油能源公司雪佛龙也是俄罗斯网络行动的目标。两者都拒绝对SEC的调查发表评论。

SolarWinds的大约18,000名客户下载了其软件的黑客版本,网络犯罪分子对其进行了操纵,以便将来可能使用。然而,这些客户中只有一小部分发现了后续的黑客活动,这表明攻击者感染的公司远远多于最终受害的公司。

据六位看过信件的消息人士透露,SEC在上个月向据信受到影响的公司发出了信函,此前的6月份已发出第一轮信函。

第二波调查要求是针对第一轮中未作出回应的公司。收件人的确切数量尚不清楚。

美富律师事务所合伙人、曾参与网络安全案件的前SEC负责人吉娜·崔表示,就SEC在如此大规模的扫荡中缺乏明确的目标而言,目前的调查是“史无前例的”。

尽管SEC十年前就发布了指导意见,要求公司披露可能是实质性的黑客攻击,而后在2018年更新了该指导意见,但大多数披露都是模糊的。

今年4月在SEC掌舵的加里·根斯勒,责成该机构发布从网络安全到气候风险的新披露要求。

虽然路透社在9个多月前首次报道了这起黑客事件,但其实际影响在很大程度上仍是未知数,美国官员称这起大规模的数字间谍行动来自俄罗斯情报部门。

政府官员一直回避分享关于被盗内容或俄罗斯人的目的的全面说明,但将其描述为传统的政府间谍活动。

数十家公司在提交给SEC的文件中提到了这些黑客,但许多公司仅将这些事件作为可能遭遇的那种入侵的一个例子。大多数称安装了SolarWinds软件的公司补充说,他们不认为最敏感的数据被盗取。

SEC互联网执法办公室前负责人约翰·里德·斯塔克(John Reed Stark)说,“公司将很难回答这些问题,不仅因为这些是广泛、全面和包罗万象的要求,而且还因为SEC一定会发现他们以前披露的内容存在某种错误”。