2024年7月18日,好意思国别称法官驳回了好意思国证券往来委员会(SEC)对软件公司 SolarWinds拿告状讼的大部分指控【EVIS-049】超マン汁過多女のずぼずぼピストンオナニー 3,包括SEC针对其首席信息安全官(CISO)布朗(Timothy Brown)个东谈主的扫数指控。但基于 SolarWinds 网站上“吹捧”该公司安全截止措施的“安全声明”而建议的证券诈骗指控,法院仍然相沿。
该裁决是对 SolarWinds本年 1 月建议的驳回 SEC 诉讼的动议的恢复。
这一裁决源于2023 年 10 月SEC 诉 SolarWinds 案,因该案波及了多个“初度”而引起了好多行业团体的公开品评:
SEC初度因收罗安全风险误导和骗取投资者而告状一家上市公司;SEC初度因首席信息安全官(CISO)在收罗安全失败中的职守而要求其承担个东谈主职守;SEC初度告状一家因收罗安全舛错导致公司里面截止失败、无法保护其要害金钱的公司。
在长达 107 页的裁决中,好意思国法官在大部分问题中作念出了与好意思国证券往来委员会(SEC)观点相背的裁决。这对SEC来说是一个紧要打击,而SolarWinds及好意思国商会、网安高管们则应长舒了一语气。
在该案判决之前,由于SEC在本案中所表现出的激进和强势,立法者、商界和讼师们,对好多问题争论陆续。底下是本案法官Paul A. Engelmayer就最要害的几个问题作出的恢复:
Q1:上市公司官网的乌有述说是否组成“证券诈骗”?
组成
SolarWinds的“安全声明”最早在2017年发布,并在扫数这个词联系时刻在其官网上公开呈现。声明中有五组骨子,包括考查截止、密码保护、适合NIST收罗安全框架、收罗监控、死守安全开发人命周期等。SEC觉得,至少有2组骨子——考查截止和密码保护策略——存在“乌有述说”。
在庭审中,SolarWinds就其“安全声明”建议的一个论点:安全声明是针对客户,而非投资者,是以不应被SEC告状。
但法官觉得这种意义压根不开辟。诚然从“标的”来说,安全声明旨在劝服“客户”购买SolarWinds的收罗安全家具(天然,淌若其中淌若有误导性骨子应当开辟“耗尽者诈骗”的罪名);但从“效力”来说,在SolarWinds的官网上的“安全声明”,是提供给投资寰球的“概述信息”的一部分,包括投资者在内的扫数东谈主皆不错考查,是以天然不错开辟“证券诈骗”。
Q2:公司批准的“宣传骨子”是否可组成“证券诈骗”?
不组成
在本案中,SEC还根据公司首席信息安全官(CISO)布朗个东谈主发布的其他公开骨子,分辩对SolarWinds公司和布朗个东谈主建议证券诈骗指控,包括公司批准的新闻稿、博客著述和播客。
这一诉请莫得获得法官的相沿,法官将上述这些骨子称之为“不可诉的公司夸口”,主要基于两个意义:
(1)从客不雅上来讲,这些骨子述说本人过于“费解”,皆莫得冷静被告公司的收罗安全施行或一般买卖施行,无法抒发任何“客不雅事实”;
(2)从主不雅来说,感性的投资者在作念出投资方案时会依赖于“客不雅事实”和“细节”,这些骨子无法成为投资者作念出方案的参考。
Q3:首席信息安全官(CISO)个东谈主是否应被归责?
不应当
就上市公司高管的履职职守而言,好意思国证券往来委员会(SEC)一直和蔼密切首席施行官(CEO)和首席财务官(CFO)两个职位。在该案中针对 SolarWinds CISO 的个东谈主指控,在行业界引起了极大的争论。
一群现任和前任CISO 和收罗安全组织提交了一份法庭之友述说,教会称,SEC的指控在多个计谋层面上皆此地无银三百两,包括因为它可能加重东谈主们对个东谈主职守的退缩,从而加重收罗安全专科东谈主员的严重短少。
好意思国证券往来委员会(SEC)默示,首席信息安全官(CISO)布朗对SolarWinds官网的缺欠述说是知情的;而在公司2020年遇到报复时刻,布朗在声明草拟时投入了会议,迷惑具体的风险,但却审查并证据了声明的准确性——彰着具有“误导性和乌有性”,因此诉状中隐含了布朗本东谈主骗取的意图。
在这个问题上,法官分辩从事实和法律关系上分析,首席信息安全官(CISO)布朗不应当被诉:
第一,法官指出,SEC并未指控布朗挑升或有益向负责表露风险的东谈主守秘信息,而只是宣称其对表露的一系列收罗安全风险负责的东谈主之一。况且,SEC以至提供了字据,说明布朗也曾制作PPT向惩处层呈文,公开商榷了公司的收罗安全舛错。因此,基于事实,布朗在风险表露方面的行动并非“相当分歧理”或“与开阔措施顶点背离”。
第二,法官引述了SEC曾参与的两个案例,强调“公司只可通过天然东谈主的行动行事,其代理东谈主在其代理范畴内的行动归于公司”。在本案中,斟酌到布朗在发布安全声明并在SolarWinds面向公众的网站上重视该声明时按照要求行事,他的心态和他的行动一样应该怨尤于公司。
Q4:SEC对“司帐截止体系”的权益是否包含“收罗安全”监管?
不包含
好意思国证券往来委员会(SEC)诉SolarWinds 案是 SEC 意图扩大其收罗安寰球法权力的一个风向标。2023年7月,好意思国证券往来委员会(SEC)还批准了一项新规则,要求上市公司在四个使命日内通过公开 8-K 备案阐述“紧要”收罗事件,并在年度 10-K 阐述等共享联系其全体收罗安全策略的冷静信息存档。该规则也通常被质疑,被品评是“总共越权行动,与国会的意图径直打破”。
SEC宣称,根据《证券往来法》第13(b)(2)(B) 条的“里面司帐截止”条目,适用于收罗安全截止,因为:
(1)该公司的源代码、数据库和家具,是SolarWinds最病笃的金钱;
(2)由于该公司和个东谈主因未能保护公司金钱免受收罗安全报复,因而不错被指控违背证券法规则。
然则,法官再次站在了SolarWinds的一边:
第一,从《证券往来法》制定的历史和标的来说,第13(b)(2)(A)和13(b)(2)(b)条是当作1977年《反国外败北法》(FCPA)的一部分制定的,是为了恢复对好意思国买卖利益集团行贿异邦官员的担忧而制定的,而“收罗安全截止”不在该条目统帅范畴之内。
第二,从功令来说,该条目只适用于公司的“里面司帐截止系统”,也只是赋予SEC监管刊行东谈主“里面司帐截止体系”的权力——即要求刊行东谈主准确阐述、纪录和联接财务往来和事项。未能检测到收罗安全舛错(举例,遴荐不当的密码)不行合理地称为司帐问题。
法官诚然承认,收罗安全截止至关病笃,从效力来说,收罗安全截止不及委果会使公司的中枢金钱受到毁伤或破损,从而裁汰其价值。但法院关于权力延伸极其严慎,觉得扩大解释该条目将导致SEC的权益将分歧理地“袒护上市公司用于保护其慎重金钱的扫数系统”,以至包括雇用夜间保安东谈主员、仓库门锁的采购、公司密码长度等等。
Q5:对收罗安全事件表露的准确性要求应该有多高?
毋庸“过后诸葛”
2020年12月发生的“太阳风”(Sunburst)大范畴收罗报复,被公觉得是“史上最严重”的供应链报复。而之是以该报复变成如斯严重和粗野的影响,好意思国证券往来委员会(SEC)觉得跟SolarWinds在“太阳风”之前和之后严重低估其严重性有径直的关系,包括忽略了2个客户在Sunburst前阐述的波及Orion家具的雷同坏心行动,即2020年5月的USTP(U.S. Trustee Program)以及2020年10月的PAN(Palo Alto Networks)收罗事件。也因此,SEC认定,SolarWind关于上述两个收罗事件的阐述,“存在紧要乌有或误导性”。
淫咪咪在过后考查中说明,USTP和PAN两个客户阐述的事件,委果预示着Sunburst的到来,也说明其严重性远远高于其时SolarWinds的评估。但问题是,是否应以“天主视角”来要求上市企业对每一个收罗事件的严重性进度作念出准确的评估和瞻望?
法院就此给出了一个事实和一个臆度措施:
(1)事实:SolarWind就USTP 和PAN事件所作的风险表露,在广度、专一性和明晰度方面,还是足以指示投资者太阳风面对的收罗安全风险的类型和性质;
(2)臆度措施:SolarWinds在Sunburst爆发前的风险表露是否充分,必须基于公司及时掌捏的信息和它从这些信息中合理得出的论断来评估。
基于以上,法院觉得,SolarWind公司在Sunburst之前莫得填塞的信息,因此无法得出过后过程万古候考查所得出的论断。SEC的指控纯正是“过后诸葛”,后见之明。
此外,SEC还觉得SolarWind在12月14日(Sunburst发生2天后)提交的8-K表存在紧要乌有或误导性,原因是对Orion家具的报复描画所用的语句过于“官方”,压根无法体现该事件的严重性。
然则,法院对该表露表格的认定逻辑与上述措施雷同:
(1)布景:8-K表提交的时候,尚处于收罗事件考查的早期阶段,应当允许公司对事件的连气儿有阶段性;
(2)措施:感性投资者的连气儿,还是足以从8-K表中“告捷欺骗”等描画嗅到更具破损性的事件或效力,那么这就填塞了。
法官提到,SolarWinds音信公布今日,其股价下落了16%以上,第二天又下落了8%。这从侧面说明,这一表露描画的Sunburst报复严重性还是填塞。
#图文新星连系#【EVIS-049】超マン汁過多女のずぼずぼピストンオナニー 3