背景／Umberto on Unsplash

美国证券交易委员会（Securities and Exchange Commission，SEC）周二（10/22）针对4家业者祭出了罚款，原因是它们在遭到SolarWinds被骇事件的波及时，对外试图淡化其影响，危害了股东与投资人的权益，包括Unisys、Avaya、Check Point与Mimecast。

SolarWinds为一专门开发网络、系统与IT管理软件的美国业者，旗下的IT监控平台Orion在2020年12月遭到黑客渗透，黑客入侵了Orion的更新机制，于特定的Orion版本中植入Sunburst木马程序，估计在3.3万家Orion客户中，有1.8万家安装了含有Sunburst的Orion，间接受害的除了众多的美国联邦组织之外，还包括FireEye、微软、思科、英特尔与Nvidia等业者。

不过，SEC发现，同样受到SolarWinds被骇事件危害的Unisys、Avaya、Check Point与Mimecast，对外提供了误导性的披露，而让投资人对此一资安事件的真实影响范围一无所知。

调查显示，Unisys、Avaya与Check Point是在2020年，而Mimecast是在2021年发现，渗透SolarWinds的黑客曾经入侵它们的系统，但它们在公开披露中全都淡化了此一资安事件。

例如Unisys就算已经知道已被SolarWinds黑客入侵两次，数据也外泄了，对外却还是以假设性的口吻来描述该风险，原因之一是因Unisys的揭露控制含有缺陷。Avaya则仅对外宣称黑客存取了有限的电子邮件，但事实上黑客还存取了其云端文件共享环境中的145个文件。

至于Check Point尽管知道自己被入侵，却以笼统的术语描述了该网络入侵活动与相关风险；Mimecast则未充份披露黑客所窃取的代码性质，以及所存取的凭证数量，试图淡化该攻击的严重性。

SEC加密资产及网络部门的代理负责人Jorge Tenreiro表示，淡化重大网络安全事件是一个糟糕的策略，上述的两个案例中，就算企业已经知道风险已经发生时，竟然还用假设性的说法来描述，违反了联邦证券法令。

上述业者皆已同意支付罚款，其中，Unisys将支付400万美元，Avaya为100万美元，Check Point是99.5万美元，而Mimecast也要支付99万美元。