美国证券交易委员会（SEC）与SolarWinds近日就一场具有标志性的网络欺诈诉讼达成和解协议，背后是监管机构控制权的重大转变。

该拟议和解协议目前仍需提交SEC全体委员审议批准，自2025年1月以来，SEC由共和党主导。联邦法官Paul Engelmayer已要求双方若在9月12日前未提交最终和解文件，须递交联合状态报告。原定于7月22日的口头辩论也因和解进展而被暂停。

“法院祝贺各方律师促成此积极进展。” Engelmayer法官在暂停动议中表示，“法院暂停所有待提交的文件截止日期，并取消原定口头陈述。”

双方为何走到和解

SEC于2023年10月提起诉讼，指控SolarWinds及其高管在2018至2020年期间误导公众披露其网络安全状况。尽管法官Engelmayer在2024年7月驳回了大部分指控，但允许其中一项继续，即：在2020年12月“Orion软件供应链攻击披露”前，SolarWinds发布了一个可能具有误导性的安全声明。

Engelmayer认为，陪审团有理由相信SolarWinds在网络入侵前发布的安全声明存在虚假成分，其所宣称的访问控制与密码策略与内部记录明显不符。公司CISO Tim Brown明知系统存在问题，却仍允许该声明长期公开发布，其行为或已构成“高度不合理或极端不当行为”。

“Brown明知大量数据反驳该安全声明内容，却仍选择对外发布并长期保留，行为可被合理认为是极端不当。”
——Engelmayer（2024年7月判决书）

在法官作出上述裁决后，双方尝试进行和解谈判，但SolarWinds及其律师曾表态难以接受SEC最初的和解方案，甚至建议引入第三方调解人。随着谈判破裂，SEC开始寻求前SolarWinds工程师作证，该工程师曾记录下与VPN访问及非托管设备有关的安全隐患。

SEC认为，该工程师Robert Krajcir对Active Directory凭据如何被用于VPN连接有重要见解，是唯一拥有该时期网络结构技术视角的证人。然而Krajcir拒绝自愿作证，促使SEC寻求法院协助。

和解背后的政治风向转变

SEC最初寻求的惩罚力度极大，包括禁止CISO Tim Brown担任上市公司高管，并要求返还所谓的非法所得。然而，SEC委员构成自2025年1月起发生变化：
由民主党主导转为共和党主导，并出现了对当前监管模式的质疑与反思。

在2024年，三名民主党任命的委员曾推动Check Point与Mimecast各支付100万美元罚款，以了结与Orion攻击相关的信息披露指控。对此，两位共和党委员Hester Peirce与Mark Uyeda公开反对：

“事后诸葛亮式地要求披露无关紧要信息，并不能真正保护投资者。”

Peirce与Uyeda也对SEC依据“网络安全管理不善”起诉证券欺诈的先例做法表达质疑。他们认为，SEC不应将遭受网络攻击的公司当作“肇事者”处理：

“网络安全事件只是企业面临的众多问题之一，监管机构应将受害企业视为受害者，而非犯罪者。”

SolarWinds方面也承认公司存在部分安全缺陷，但强调这并不构成“故意欺诈”。律师称，SEC所发现的问题要么已被修复，要么不至于需要对投资者公开披露，而监管部门正在将行业性挑战错误归咎于企业本身。

妥协的土壤：法律模糊+舆论高压

随着政治局势转变，SEC与SolarWinds都意识到此类“无先例案件”中陪审团的判断存在巨大不确定性：

在网络安全责任边界尚未清晰立法定义的背景下，此类和解为监管与业界提供了一个可接受的妥协样本。