SolarWinds 首席信息安全官表示，安全高管对数据泄露的个人责任感到“紧张”

快速阅读: 据《Cyber Scoop 独家新闻》最新报道，SolarWinds的首席信息安全官提姆·布朗表示，越来越多的首席信息安全官因避免个人法律责任而难以履行职责。布朗提到，其他安全高管正重新评估公开讨论网络安全的方式。尽管一些人认为个人责任能提高责任感，但也有观点认为这会分散安全高管的注意力。布朗建议需找到有效履行职责的方法，同时避免法律风险。

SolarWinds的顶级网络安全高管表示，首席信息安全官们越来越难以应对如何在避免个人法律责任的同时履行职责的问题。提姆·布朗，目前担任SolarWinds的首席信息安全官，在黑客受俄罗斯对外情报局（格鲁乌）指使攻击该公司时，他是公司的副总裁及最高级别的安全官员。这些黑客入侵了用于推送IT管理解决方案“猎户座”软件更新的构建环境。这一事件导致至少九个联邦机构和一百家公司遭到攻击。SolarWinds被股东起诉，指控其在该黑客事件中存在网络安全疏忽和内幕交易，而美国证券交易委员会的诉讼则试图让布朗因公开声明SolarWinds的网络安全实力时存在虚假或误导性陈述而承担个人责任。上周五，在弗吉尼亚州阿灵顿举行的网络法律大会CyberLawCon上，布朗表示，他案件引发的后果让许多首席信息安全官对所面临的法律环境感到不确定。布朗说：“首席信息安全官们担心法律责任，他们担心如何在组织内部采取适当的安全措施。”

布朗因投资者和证券交易委员会提起的诉讼主要由于他在黑客事件前在证券交易委员会文件、媒体采访和播客中的公开声明而陷入法律困境。监管机构称这些声明歪曲和夸大了SolarWinds的网络安全实力。纽约的一名地方法官在2024年驳回了证券交易委员会的大部分诉讼，并将布朗和其他SolarWinds高管在媒体采访和证券交易委员会文件中的言论描述为“夸大其词的商业宣传”。然而，法院维持了对SolarWinds和布朗误导客户关于其网络安全状况的指控，并指出作为最高安全官员的布朗知晓与公司网站上的声明不一致的内部信息。

布朗表示，其他安全高管正在重新评估他们在公共场合讨论其网络安全计划的方式。他还指出，追究个人对漏洞的责任可能会分散或阻碍首席信息安全官有效管理网络攻击后果的能力。布朗说：“即使在我自己的经历中，也有过一段时间，我们在处理[我们的黑客事件]时，开始问自己：‘我能否暴露这个缺陷？我能否处理需要改进的事情？我该如何表达才能不让自己承担责任？’这些问题开始困扰人们的大脑，这是最糟糕的情况之一。有一段时间，我20%的精力都花在思考责任上，而不是保护公司。”

根据网络安全供应商BlackFog去年12月发布的一项调查，七成的首席信息安全官表示，有关高管因数据泄露而被单独追责的报道已经影响了他们对工作的看法。但一些网络安全倡导者、政策制定者和投资者抱怨，如果没有某种形式的法律责任，高层管理者总是会优先考虑短期利润而非长期的网络安全投资。同BlackFog的调查发现，近一半的首席信息安全官认为个人责任将提高网络专业人员的责任感和透明度。在美国这一比例更高（55%），在那里像优步首席信息安全官乔·沙利文这样的高管在监督公司安全时面临民事和刑事诉讼。

当被CyberScoop问及媒体和网络安全倡导者应如何评估公司高管关于其网络安全状况的公开声明，特别是考虑到布朗的案例时，Zoom的首席信息安全官迈克尔·亚当斯表示，虽然保护首席信息安全官免于个人责任可能让他们“晚上睡得更好”，但这不应是他们的首要关注点。亚当斯说：“一方面，有赔偿是很令人安心的。另一方面，如果你是一个首席信息安全官，经常担心赔偿问题，你可能错过了应该注意的其他事情。”尽管亚当斯认为首席信息安全官仍有责任确保公司被视为安全且值得信赖的，但这必须基于事实，并接受适当的资源配置和问责制。

至于布朗本人，他并没有明确支持对首席信息安全官在安全事件中的责任进行赔偿，但他建议安全高管需要更清晰地了解如何在没有过度犯罪和民事处罚风险的情况下有效地履行职责。布朗说：“我们需要做的一件重要事情是，当我们审视这个问题时，不仅仅是减少首席信息安全官社区的责任。而是，我们如何确保我们现有的措施能够让我们以最有效的方式完成工作，而不受到法律或监管行动的干扰？”

(以上内容均由Ai生成)