SEC（United States Securities and Exchange Commission，美国证券交易委员会。1934年根据证券交易法令而成立，是直属美国联邦的独立准司法机构，负责美国的证券监督和管理工作，是美国证券行业的最高机构。证券交易委员会的总部在华盛顿特区，拥有5名经总统提名并由国会通过的委员、5个职能部门和23个办事处，大约有4600名员工分布在华盛顿和全国各地的11个地区办事处。SEC具有准立法权、准司法权、独立执法权。）新的网络披露要求对CISO（Chief information security officer，首席信息安全官）来说既是负担也是机遇，CISO的角色现在比以往任何时候都更具战略性。

图源：FEDERICO CAPUTO VIA ALAMY STOCK

为了应对日益复杂的网络威胁和数据泄露，美国证券交易委员会通过其新的网络安全事件披露要求，在加强企业问责制方面迈出了关键一步。

最近的执法行动，如针对SolarWinds Corporation（于2015年以Project Aurora Parent,Inc.的名义在特拉华州注册成立。SolarWinds Corporation的成立目的是收购SolarWinds,Inc.。SolarWinds,Inc.于1999年在俄克拉荷马州注册成立，并于2008年在特拉华州重新注册。2018年5月，SolarWinds,Inc.更名为SolarWinds North美国公司。SolarWinds是信息技术，IT，基础设施管理软件的领先供应商。无论类型、大小或IT基础设施的复杂性如何，他们的产品都使世界各地的组织能够监视和管理IT环境的性能，无论是在企业内部、云中还是在混合模型中。该公司结合了强大，可扩展，负担得起，易于使用的产品与高速，低触点的销售模式，以发展他们的业务，同时也产生了巨大的现金流。）首席信息安全官（CISO）的案件，突显了美国证券交易委员会对及时准确披露网络安全事件的重视程度。

这一举措凸显了公司治理格局的转变，尤其是在数字安全领域。而且，至关重要的是，这些发展正在重塑IT领导者的角色，他们现在必须应对技术挑战和法规遵从性的复杂局面。

一、美国证券交易委员会新的网络安全披露要求

新规定，包括对S-K条例第106项的修订，要求及时报告网络事件，并明确披露网络安全战略和风险管理的年度信息，旨在为投资者提供网络安全风险的透明视角。

根据新的要求，IT领导必须在四个工作日内报告重大网络事件。他们还必须在年度报告中详细说明其网络安全风险管理策略，以概述有关网络安全风险的公司治理政策。

实际上，这意味着：

lIT领导必须进行适当的披露

l他们还必须有适当的控制和程序来上报项目，并确定何时何地需要披露

这些要求给所有企业领导层带来了巨大的责任负担，尤其是CISO和/或首席技术官（CTO）。

二、CISO面临更大的监管压力

PWC（PricewaterhouseCoopers Consulting，普华永道咨询公司，国际领先的管理咨询公司之一。2002年7月30日，普华永道咨询公司被IBM以35亿美元的现金和股票形式收购。）已经负责遏制网络威胁，其指出，CISO现在必须“为其公司提高网络透明度做好准备”

这些变化显著地提升了IT领导者的责任。根据美国证券交易委员会的要求，对详细合规和高级风险管理的需求重塑了他们的角色，影响了战略和运营职责。

但最大的变化也是最明显的一个：缺乏透明度现在直接与掌舵人有关。这转化为比以往任何时候都更大的压力和压力。

三、SolarWinds案的明确信息

美国证券交易委员会对SolarWinds公司及其CISO，Timothy G. Brown（蒂莫西·G·布朗）的行动标志着网络安全监管方法的分水岭时刻。这起案件突显了对CISO实施强有力的网络安全实践并向投资者提供全面准确的网络安全风险披露的日益强烈的要求。

美国证券交易委员会声称，SolarWinds公司和Brown（布朗）歪曲了该公司的网络安全防御。在“SUNBURST”网络攻击事件（2020年年底，全球领先的网络安全公司 FireEye 疑遭某 APT 组织的攻击，发布了关于SolarWinds供应链攻击的通告，通告中表明基础网络管理软件供应商SolarWinds旗下的Orion网络监控软件更新服务器遭黑客入侵并植入恶意代码，并将SolarWinds Orion 软件更新包中被黑客植入的后门命名为SUNBURST，与之相关的攻击事件被称为 UNC2452。SolarWinds的系统被攻击之后，涉及范围极广，导致了多个美国联邦政府机构，包括政府部门、关键基础设施以及多家全球500强企业，的网络遭受入侵。该事件堪称美国历史上最为严重的安全事件，尽管已经过去了3年多时间，其影响依旧十分深远。据了解，SolarWinds 供应链攻击事件是一起技术水平极高、隐蔽性极强 且经过了长期筹谋的网络攻击行动，攻击者所设计的攻击思路十分隐蔽巧妙，在编码上习惯上仿照了SolarWinds的编码方式与命名规范等，成功绕过了复杂测试、交叉审核、校验等多个环节，同时触发条件十分苛刻，有效避免了被沙箱等自动化分析工具检出。）曝光后，这种虚假陈述导致该公司股票价值大幅下跌。

美国证券交易委员会的进一步审查显示，SolarWinds公司的公共网络安全声明与其内部风险评估之间存在明显的不一致，而Brown（布朗）是这些不一致的核心。有证据表明，Brown（布朗）意识到这些安全弱点，但没有采取这些措施加以纠正。这导致了投资者接收到了该公司网络安全立场的扭曲描述。

美国证券交易委员会决定施以permanent injunctive relief（永久禁制令）、disgorgement（追缴的违法所得）、civil penalties（民事罚款），并禁止Brown（布朗）未来担任委员会或董事等的处罚，这凸显了CISO现在面临的责任和个人风险的增加。SolarWinds案是一个严厉的警告，强调了诚实披露网络安全的关键必要性，以及不遵守这些标准的严重后果。

四、对IT领导能力的战略影响

IT领导者必须组建具有技术技能、法规知识和风险管理专业知识的团队。有竞争力的薪水和灵活的工作时间表对于吸引和留住人才至关重要。为了提高运营和生产力，他们应该鼓励持续学习，并接受数字化转型，包括自动化、人工智能和云平台。

认识到对技术工作者的需求和云计算的重要性，IT领导者可能正在寻找实现人才来源多样化的方法，考虑他们在哪里可以外包，并确定在网络安全等关键领域培训现有员工的方法。平衡的人才管理、技能发展和法规遵从性方法将帮助IT领导层应对当前的经济和技术挑战。

五、CISO作为数字信托架构师的新机遇

美国证券交易委员会最新的网络安全事件披露要求改变了IT部门的领导地位，巩固了首席信息官和首席信息官在公司治理中的关键地位。他们现在远不仅仅是技术负责人，现在是数字驱动、监管密集的环境中的战略远见者。

这一转变预示着IT领导层将迎来一个新机遇的时代，在这个时代，应对复杂的网络安全挑战的弹性、清晰度和灵活性变得至关重要。IT领导者现在是数字信任的架构师。他们的战略决策和积极主动的风险管理对于定义相互关联的商业世界中的企业韧性和诚信至关重要。

作者：François Amigorena（弗朗索瓦·阿米戈莱纳）

François Amigorena（弗朗索瓦·阿米戈莱纳）是IS Decisions的创始人兼首席执行官，这是一家全球软件公司，专门从事Microsoft Windows和Active Directory环境的访问管理和MFA。在IBM和法国兴业银行的子公司工作了一段时间后，弗朗索瓦于1989年成为一名企业家，从此不再回头。