背景／Umberto on Unsplash

美國證券交易委員會（Securities and Exchange Commission，SEC）週二（10/22）針對4家業者祭出了罰款，原因是它們在遭到SolarWinds被駭事件的波及時，對外試圖淡化其影響，危害了股東與投資人的權益，包括Unisys、Avaya、Check Point與Mimecast。

SolarWinds為一專門開發網路、系統與IT管理軟體的美國業者，旗下的IT監控平臺Orion在2020年12月遭到駭客滲透，駭客入侵了Orion的更新機制，於特定的Orion版本中植入Sunburst木馬程式，估計在3.3萬家Orion客戶中，有1.8萬家安裝了含有Sunburst的Orion，間接受害的除了眾多的美國聯邦組織之外，還包括FireEye、微軟、思科、英特爾與Nvidia等業者。

不過，SEC發現，同樣受到SolarWinds被駭事件危害的Unisys、Avaya、Check Point與Mimecast，對外提供了誤導性的披露，而讓投資人對此一資安事件的真實影響範圍一無所知。

調查顯示，Unisys、Avaya與Check Point是在2020年，而Mimecast是在2021年發現，滲透SolarWinds的駭客曾經入侵它們的系統，但它們在公開披露中全都淡化了此一資安事件。

例如Unisys就算已經知道已被SolarWinds駭客入侵兩次，資料也外洩了，對外卻還是以假設性的口吻來描述該風險，原因之一是因Unisys的揭露控制含有缺陷。Avaya則僅對外宣稱駭客存取了有限的電子郵件，但事實上駭客還存取了其雲端檔案共享環境中的145個檔案。

至於Check Point儘管知道自己被入侵，卻以籠統的術語描述了該網路入侵活動與相關風險；Mimecast則未充份披露駭客所竊取的程式碼性質，以及所存取的憑證數量，試圖淡化該攻擊的嚴重性。

SEC加密資產及網路部門的代理負責人Jorge Tenreiro表示，淡化重大網路安全事件是一個糟糕的策略，上述的兩個案例中，就算企業已經知道風險已經發生時，竟然還用假設性的說法來描述，違反了聯邦證券法令。

上述業者皆已同意支付罰款，其中，Unisys將支付400萬美元，Avaya為100萬美元，Check Point是99.5萬美元，而Mimecast也要支付99萬美元。