发布日期:2024-07-27 23:37 点击次数:143
2024年7月18日,好意思国又名法官驳回了好意思国证券来回委员会(SEC)对软件公司 SolarWinds拿告状讼的大部分指控,包括SEC针对其首席信息安全官(CISO)布朗(Timothy Brown)个东谈主的所有指控。但基于 SolarWinds 网站上“吹捧”该公司安全斥逐要领的“安全声明”而提议的证券诓骗指控VR视角,法院仍然救助。
该裁决是对 SolarWinds本年 1 月提议的驳回 SEC 诉讼的动议的复兴。
这一裁决源于2023 年 10 月SEC 诉 SolarWinds 案,因该案波及了多个“初度”而引起了很多行业团体的公开品评:
SEC初度因网罗安全风险误导和骗取投资者而告状一家上市公司;SEC初度因首席信息安全官(CISO)在网罗安全失败中的遭殃而要求其承担个东谈主遭殃;SEC初度告状一家因网罗安全颓势导致公司里面斥逐失败、无法保护其关键钞票的公司。
在长达 107 页的裁决中,好意思国法官在大部分问题中作念出了与好意思国证券来回委员会(SEC)见地违犯的裁决。这对SEC来说是一个首要打击,而SolarWinds及好意思国商会、网安高管们则应长舒了连气儿。
在该案判决之前,由于SEC在本案中所推崇出的激进和强势,立法者、商界和讼师们,对很多问题争论束缚。底下是本案法官Paul A. Engelmayer就最关键的几个问题作出的复兴:
Q1:上市公司官网的不实述说是否组成“证券诓骗”?
大奶喵喵酱组成
SolarWinds的“安全声明”最早在2017年发布,并在通盘相干技能在其官网上公开呈现。声明中有五组实践,包括走访斥逐、密码保护、合适NIST网罗安全框架、网罗监控、恪守安全拓荒人命周期等。SEC觉得,至少有2组实践——走访斥逐和密码保护策略——存在“不实述说”。
在庭审中,SolarWinds就其“安全声明”提议的一个论点:安全声明是针对客户,而非投资者,是以不应被SEC告状。
但法官觉得这种根由根柢不种植。诚然从“指标”来说,安全声明旨在劝服“客户”购买SolarWinds的网罗安全居品(天然,淌若其中淌若有误导性实践应当种植“破费者诓骗”的罪名);但从“恶果”来说,在SolarWinds的官网上的“安全声明”,是提供给投资群众的“笼统信息”的一部分,包括投资者在内的所有东谈主都不错走访,是以天然不错种植“证券诓骗”。
Q2:公司批准的“宣传实践”是否可组成“证券诓骗”?
不组成
在本案中,SEC还根据公司首席信息安全官(CISO)布朗个东谈主发布的其他公开实践,离别对SolarWinds公司和布朗个东谈主提议证券诓骗指控,包括公司批准的新闻稿、博客著作和播客。
这一诉请莫得获得法官的救助,法官将上述这些实践称之为“不可诉的公司夸口”,主要基于两个根由:
(1)从客不雅上来讲,这些实践述说自身过于“果决”,都莫得详备被告公司的网罗安全实践或一般买卖实践,无法抒发任何“客不雅事实”;
(2)从主不雅来说VR视角,感性的投资者在作念出投资方案时会依赖于“客不雅事实”和“细节”,这些实践无法成为投资者作念出方案的参考。
Q3:首席信息安全官(CISO)个东谈主是否应被归责?
不应当
就上市公司高管的履职遭殃而言,好意思国证券来回委员会(SEC)一直眷注密切首席实践官(CEO)和首席财务官(CFO)两个职位。在该案中针对 SolarWinds CISO 的个东谈主指控,在行业界引起了极大的争论。
一群现任和前任CISO 和网罗安全组织提交了一份法庭之友述说,告戒称,SEC的指控在多个计谋层面上都狡兔三窟,包括因为它可能加重东谈主们对个东谈主遭殃的震悚,从而加重网罗安全专科东谈主员的严重清苦。
好意思国证券来回委员会(SEC)示意,首席信息安全官(CISO)布朗对SolarWinds官网的造作述说是知情的;而在公司2020年遇到报复技能,布朗在声明草拟时投入了会议,指点具体的风险,但却审查并阐发了声明的准确性——彰着具有“误导性和不实性”,因此诉状中隐含了布朗本东谈主骗取的意图。
在这个问题上,法官离别从事实和法律关系上分析,首席信息安全官(CISO)布朗不应当被诉:
第一,法官指出,SEC并未指控布朗有意或有意向矜重透露风险的东谈主保密信息,而只是宣称其对透露的一系列网罗安全风险矜重的东谈主之一。何况,SEC甚而提供了凭据,讲明布朗也曾制作PPT向解决层讲演,公开询查了公司的网罗安全颓势。因此,基于事实,布朗在风险透露方面的步履并非“异常分歧理”或“与普通尺度极点背离”。
第二,法官引述了SEC曾参与的两个案例,强调“公司只可通过天然东谈主的步履行事,其代理东谈主在其代理范围内的步履归于公司”。在本案中,洽商到布朗在发布安全声明并在SolarWinds面向公众的网站上防卫该声明时按照要求行事,晓晓电影122xx他的心态和他的步履一样应该归罪于公司。
Q4:SEC对“司帐斥逐体系”的权利是否包含“网罗安全”监管?
不包含
好意思国证券来回委员会(SEC)诉SolarWinds 案是 SEC 意图扩大其网罗安全司法权力的一个风向标。2023年7月,好意思国证券来回委员会(SEC)还批准了一项新规定,要求上市公司在四个使命日内通过公开 8-K 备案陈述“首要”网罗事件,并在年度 10-K 陈述均共享相干其举座网罗安全策略的详备信息存档。该规定也雷同被质疑,被品评是“皆备越权步履,与国会的意图径直冲破”。
SEC宣称,根据《证券来回法》第13(b)(2)(B) 条的“里面司帐斥逐”条件,适用于网罗安全斥逐,因为:
(1)该公司的源代码、数据库和居品,是SolarWinds最蹙迫的钞票;
(2)由于该公司和个东谈主因未能保护公司钞票免受网罗安全报复,因而不错被指控违反证券律例则。
然而,法官再次站在了SolarWinds的一边:
第一,从《证券来回法》制定的历史和指标来说,第13(b)(2)(A)和13(b)(2)(b)条是看成1977年《反国际衰落法》(FCPA)的一部分制定的,是为了复兴对好意思国买卖利益集团行贿番邦官员的担忧而制定的,而“网罗安全斥逐”不在该条件统带范围之内。
第二,从法令来说,该条件只适用于公司的“里面司帐斥逐系统”,也只是赋予SEC监管刊行东谈主“里面司帐斥逐体系”的权力——即要求刊行东谈主准确陈述、记载和合营财务来回和事项。未能检测到网罗安全颓势(举例,选拔不当的密码)不成合理地称为司帐问题。
法官诚然承认,网罗安全斥逐至关蹙迫,从恶果来说,网罗安全斥逐不及实在会使公司的中枢钞票受到挫伤或破裂,从而缩小其价值。但法院关于权力彭胀极其严慎,觉得扩大解释该条件将导致SEC的权利将分歧理地“袒护上市公司用于保护其珍摄钞票的所有系统”,甚而包括雇用夜间保安东谈主员、仓库门锁的采购、公司密码长度等等。
Q5:对网罗安全事件透露的准确性要求应该有多高?
无谓“过后诸葛”
2020年12月发生的“太阳风”(Sunburst)大规模网罗报复,被公觉得是“史上最严重”的供应链报复。而之是以该报复形成如斯严重和畴昔的影响,好意思国证券来回委员会(SEC)觉得跟SolarWinds在“太阳风”之前和之后严重低估其严重性有径直的关系,包括忽略了2个客户在Sunburst前陈述的波及Orion居品的肖似坏心行为,即2020年5月的USTP(U.S. Trustee Program)以及2020年10月的PAN(Palo Alto Networks)网罗事件。也因此,SEC认定,SolarWind关于上述两个网罗事件的陈述,“存在首要不实或误导性”。
在过后考察中讲明,USTP和PAN两个客户陈述的事件,实在预示着Sunburst的到来,也讲明其严重性远远高于其时SolarWinds的评估。但问题是,是否应以“天主视角”来要求上市企业对每一个网罗事件的严重性进程作念出准确的评估和展望?
法院就此给出了一个事实和一个预计尺度:
(1)事实:SolarWind就USTP 和PAN事件所作的风险透露,在广度、专一性和了了度方面,还是足以教唆投资者太阳风靠近的网罗安全风险的类型和性质;
(2)预计尺度:SolarWinds在Sunburst爆发前的风险透露是否充分,必须基于公司及时掌抓的信息和它从这些信息中合理得出的论断来评估。
基于以上,法院觉得,SolarWind公司在Sunburst之前莫得蹂躏的信息,因此无法得出过后历程万古候考察所得出的论断。SEC的指控纯正是“过后诸葛”,后见之明。
此外,SEC还觉得SolarWind在12月14日(Sunburst发生2天后)提交的8-K表存在首要不实或误导性,原因是对Orion居品的报复描述所用的语句过于“官方”,根柢无法体现该事件的严重性。
然而,法院对该透露表格的认定逻辑与上述尺度肖似:
(1)配景:8-K表提交的时候,尚处于网罗事件考察的早期阶段,应当允许公司对事件的矫健有阶段性;
(2)尺度:感性投资者的矫健,还是足以从8-K表中“获到手用”等描述嗅到更具破裂性的事件或恶果,那么这就蹂躏了。
法官提到,SolarWinds音信公布本日,其股价下降了16%以上,第二天又下降了8%。这从侧面说明,这一透露描述的Sunburst报复严重性还是蹂躏。
#图文新星揣度#VR视角