纽约南区法院驳回SEC对SolarWinds网络安全相关执法行动中的大部分指控
2024年7月18日,美国纽约南区地方法官Paul A. Engelmayer驳回了证券交易委员会(SEC)对SolarWinds及其首席信息安全官(CISO)在网络安全实践和披露方面的大部分指控。这些指控源于SolarWinds遭受的俄罗斯网络攻击(SUNBURST)。
SEC的诉状指出,SolarWinds未能维护内部会计控制以保护其软件安全,也未能确保披露系统到位,以便高层管理人员能够知悉已知的安全风险。此外,SEC还指控SolarWinds在公开文件和网站上夸大其网络安全协议,并隐瞒与SUNBURST攻击相关的风险,而SolarWinds的CISO因相同行为被控共谋。
该诉状在至少三个方面具有创新性:首先,这是SEC首次在网络安全失败的背景下提出内部会计控制指控的争议程序;其次,这是首次在网络安全泄露事件中提出基于欺诈的安全披露违规指控的争议程序;最后,这是SEC首次单独起诉一名CISO。
法院除了保留与公司网站安全声明相关的重大失实陈述指控外,驳回了其他所有指控。法院认为:(一)《证券交易法》第13(b)(2)(B)条不适用于网络安全控制;(二)SolarWinds在攻击发生后的几天内对SUNBURST严重性的内部错误评估,并未导致向高层管理人员披露评估结果的失败,这不足以证明披露控制不足;(三)公司在S-1文件和定期披露中的网络安全风险披露是充分且未具误导性的。
裁决内容
SEC对SolarWinds及其CISO的指控主要分为三个方面:
证券欺诈
SEC指控SolarWinds及其CISO在包括公司网站安全声明、新闻稿、博客文章、定期报告以及S-1和10-K表格在内的众多公开文件中,对公司网络安全实践和风险做出重大不实陈述和遗漏。SEC还指控SolarWinds和CISO对SUNBURST攻击发生后的披露文件中存在重大不实陈述,并寻求因CISO参与起草和审查吹嘘公司网络安全实践的声明而追究其共谋责任。法院认定,SolarWinds网站安全声明中吹嘘的五项具体网络安全保护措施是不真实的,特别是关于访问控制和密码保护政策的陈述“在很大程度上具有误导性”。法院驳回了SolarWinds的抗辩,即这些网站声明针对的是客户而非投资者,因此不具有可诉性。法院认为,网站安全声明改变了投资者可获得的“信息总和”,因此可能构成证券欺诈。
然而,法院驳回了与公司新闻稿、博客文章和定期报告中仅表示公司致力于“高安全标准”和“由健全的安全流程、程序和标准支持”的陈述相关的指控,认为这些是“不可诉的企业夸大之词”,过于笼统,不足以让合理投资者产生依赖。法院同样驳回了SEC关于SolarWinds在S-1和10-K表格中风险披露“过于笼统且模糊”的指控,认为这些披露“以严厉和直接的方式列举了公司面临的网络安全措施失败的风险”,且合理投资者“不可能被误导”。
未能维护内部会计控制
SEC指控SolarWinds未能建立和维护一个足以保护其资产(包括信息系统、源代码和软件产品,特别是其旗舰产品Orion软件平台)免受外部访问的内部会计控制系统,违反了《证券交易法》第13(b)(2)(B)条。此外,诉状还指控CISO通过签署虚假的子证书证明SolarWinds网络安全内部控制的充分性而助长了这些违规行为。法院裁定,《证券交易法》第13(b)(2)(B)条仅适用于财务会计控制,而不适用于网络安全控制。
未能维护披露控制和程序
SEC指控SolarWinds对SUNBURST攻击的错误内部评级表明公司未能“维护披露控制和程序”,违反了《证券交易法》第13(a)条下的各项规则。SolarWinds将该攻击错误地归类为级别“0”,根据SolarWinds的政策,这不需要低级别官员向高层管理人员报告该事件,而应归类为级别“2”,这将要求向高层管理人员报告以确定是否需要公开披露。SEC还指控CISO未能向上级报告或披露公司的网络安全漏洞,从而未能允许及时公开披露。法院驳回了这些指控,认为SEC已充分声称“SolarWinds拥有促进潜在重大网络安全风险和事件披露的控制系统”,且SEC的指控“仅在SUNBURST发生后的后见之明下才有说服力”。法院认为CISO“一次失误”未向上级报告并不构成违规,指出“错误发生并不意味着存在系统性缺陷”。
启示
SEC可能限制对会计控制缺陷的过度指控,但将继续进行网络安全相关的执法行动。法院的裁决将《证券交易法》第13(b)(2)(B)条限制在财务会计控制范围内,应为公司带来安慰,即《证券交易法》并不制裁所有内部控制失败。然而,SEC将继续监管网络安全缺陷。特别是,SEC最近颁布了规定,要求公司在确定事件具有重大性后的四个工作日内披露重大网络安全事件,并每年报告网络安全风险管理策略。
所有合规官员,包括CISO,应确保履行其合规职责,但除非存在恶意行为,否则不应承担责任。尽管某些指控仍针对CISO,但这对企业合规官员来说可能是一个警示。由于低级别官员可能因公司的不实陈述而承担个人责任,该案例应提醒官员确保他们参与起草的所有公司声明的准确性,即使他们不负责披露工作,且这些声明是针对客户而非投资者。SEC执法部主管Gurbir Grewal在今年秋季对城市律师协会发表讲话时表示,SEC将继续对积极参与不当行为、误导监管机构以及“全面未能履行合规职责和进行基本调查和分析”的合规官员采取执法行动。Grewal强调,合规人员应通过了解监管要求、参与公司各方面工作以采用适当的合规政策,并一致执行这些政策,来营造“积极的合规文化”。鉴于SEC近年来对网络安全缺陷的关注,CISO应确保他们向高层管理人员报告网络安全问题,并在公司声明中正确表述网络安全风险和策略。然而,那些没有“全面未能”履行其职责的合规官员,包括CISO,不应成为执法行动的对象。这类似于对董事和高级管理人员的不当行为责任所采用的Caremark标准,即当合规官员已采取措施确保公司拥有合理设计的系统来识别红旗信号并向高层管理人员报告时,无论这些系统是否有效,他们都不应承担责任。
公司声明,即使不属于证券披露或针对投资者,也可能引发证券责任。唯一成立的指控涉及网站安全声明,这是一份针对客户的营销材料,这提醒我们,此类公司声明通常是投资者可获得信息的整体组合的一部分,并可能构成证券索赔的基础。它们实际上是面向公众的“新闻稿”,因此应从与任何其他公告相同的披露角度进行审查。公司应确保这些声明与其证券披露保持一致,特别是考虑到它们可能不是由负责证券披露的同一团队撰写或审核的。
来源:Southern District of New York Dismisses Most Claims in SEC Cybersecurity-Related Enforcement Action Against SolarWinds