美国证券交易委员会（SEC）对SolarWinds误导性网络安全披露提起法律诉讼，此事不仅登上新闻头条，还创造了历史。该案代表着围绕网络安全的监管预期和执法发生了翻天覆地的变化，尤其是对上市公司和政府承包商而言。

如今处理敏感数据的企业面对的是问责与审查的新时代，符合强制性的最低网络安全标准被认为是诚信义务至关重要，对联邦承包商而言还要承担国家安全的责任。

别误会，这可不仅仅是SEC在展示其监管力量。SolarWinds案是联邦协同推行网络安全要求的第一炮。大家一直在等的那条明确底线终于划下来了。

明确底线

实际上，这意味着上市公司首席信息安全官（CISO）在设计、实施和管理其网络安全计划时必须更加谨慎且留有记录。类似首席财务官做出的声明、拿出的报告和发表的意见，CISO的肩上如今也压上了差不多的重任。有些人可能乐见此景，因为他们多年来一直倡导CISO也应在董事会上占有一席之地。CISO地位提升有喜有忧：坐到相应的位置上就得承担相应的责任。

美国国防部（DoD）的联邦承包商一直在等着看政府推行网络安全合规的力度到底有多大。多年来，美国国防部一直要求国防工业基础的主要供应商和分包商将合规得分录入联邦数据库，以此自证其网络安全水平。但Merrill Research的一项研究发现，仅36%的承包商提交了此类得分，比去年的首次报告下降了10个百分点。

风险解决办法

有些公司采取了投机取巧的办法，只简单录入漂亮的分数，因为他们知道政府没有什么现行计划会去验证所报告的分数，所以报告的网络安全风险不准确也不会带来任何后果。但SEC的这起案件直接暴露了国防工业基础的上市公司，如果这些公司没有准确地报告遵守现有网络安全规定的情况，那他们就还会面临许多额外的法律风险。

例如，去年夏天，Aerojet Rocketdyne公司同意支付900万美元和解一起《虚假申报法》诉讼案，该案件中美国司法部称该公司故意不实申报其安全状况。

Merrill Research的研究显示，很多承包商根本不认为自己必须遵守安全规定，虽然签了利润丰厚的合同就意味着他们需要合规。例如，仅19%的受访企业实现了漏洞管理解决方案，25%拥有安全IT备份解决方案，但这两种解决方案都是美国国防部（DoD）要求的。不过，有40%的受访企业超过了法律要求，还遵照了美国联邦通信委员会（FCC）认为其威胁美国国家安全的产品。

无法达成合规或不实申报安全状况可能会导致损失当前和未来的政府合同，这是对企业营收和股东利益的巨大打击。

然而，所造成的破坏远远不只是法律和经济后果。对于承包商而言，网络安全状况不佳可能会将美国的关键技术、武器系统和其他国家安全资产暴露在俄罗斯、伊朗、朝鲜等对手面前。

勒索软件团伙LockBit入侵波音公司事件凸显了这一紧迫性。该事件反映出网络安全要求加大的情况下承包商所面临的网络风险。现实情况就是，意志坚定的对手在不断探寻敏感政府数据和商业数据，而多年公私合作伙伴致力于制定网络安全要求，这是保护所有此类信息的最佳途径。

不认真投入安全的时代已经终结

网络安全成熟度模型认证（CMMC）2.0计划是一项待决联邦法律，将通过执行和审核近十年来超过 100 万份合同中存在的强制性网络安全最低标准的合规性，很快将影响数十万国防部承包商。最坏情况下，如果上市国防承包商未通过合规审计，但之前曾报告完全合规，那现在就会遭到SEC起诉。

照单划勾而不认真投入安全的时代已经终结。SEC已表明，上市公司，甚至特定高管，现在是有可能被追究网络安全方面的法律和国家安全责任的，折中和模糊都会让企业承担重大责任。为保住利益相关者的数据、投资、信任和竞争优势，高管必须将网络安全作为首要任务，美国政府已释放明确信息——将不再采取“信任而不验证”的方式了。

文章来源：数世咨询