التعليق
في في وقت سابق من المادة، قمت بتغطية ما تعنيه لوائح الاتهام الخاصة بشركة SolarWinds الصادرة عن هيئة الأوراق المالية والبورصة (SEC) وقاعدة الأربعة أيام بالنسبة لـ DevSecOps. واليوم، دعونا نطرح سؤالاً مختلفاً: إلى أين تتجه عمليات الكشف السيبراني من هنا؟
قبل انضمامي إلى مجال الأمن السيبراني، كنت محاميًا للأوراق المالية. لقد أمضيت الكثير من الوقت في تصفح قواعد هيئة الأوراق المالية والبورصات وعملت مع هيئة الأوراق المالية والبورصة بشكل منتظم. هذه المقالة ليست نصيحة قانونية. إنها نصيحة عملية من شخص لديه معرفة حقيقية، وإن كانت بعيدة، بهيئة الأوراق المالية والبورصات.
لائحة اتهام هيئة الأوراق المالية والبورصة باختصار
في 30 أكتوبر 2023 ، أ قدمت هيئة الأوراق المالية والبورصات شكوى ضد شركة SolarWinds ورئيس أمن المعلومات لديها، بتهمة "الاحتيال وفشل الرقابة الداخلية" و"الأخطاء والسهو والمخططات التي أخفت ممارسات الأمن السيبراني السيئة للشركة ومخاطر الأمن السيبراني المتزايدة - والمتزايدة"، بما في ذلك تأثير الهجوم الفعلي. الهجوم على أنظمتها وعملائها.
وضع سؤال "ينبغي" جانباً
أريد أن أضع جانبًا ما إذا كان ينبغي على هيئة الأوراق المالية والبورصات اتخاذ إجراء. هناك الكثير من الأصوات حول هذا الموضوع بالفعل. يجادل البعض بأن تصريحات الأمن السيبراني العامة لشركة SolarWinds كانت طموحة وليست واقعية. ويرى آخرون أنه لا ينبغي استهداف رئيس أمن المعلومات لأن إدارته لم تتمكن من تقديم الدفاعات المطلوبة. لقد اعتمد على الآخرين للقيام بذلك. أخيرًا، زعمت ملخصات أصدقاء المحكمة المرفوعة لدعم شركة SolarWinds ورئيس أمناء أمن المعلومات التابعين لها أن القضية سيكون لها تأثير تأثير مخيف على التوظيف والاحتفاظ بأدوار CISOوالتواصل الداخلي والجهود المبذولة لتحسين الأمن السيبراني والمزيد.
مشكلة الكشف السيبراني
بدأت هيئة الأوراق المالية والبورصة شكواها بالإشارة إلى أن الشركة قدمت بيان تسجيل الاكتتاب العام في أكتوبر 2018. وكانت تلك الوثيقة تحتوي على نموذج معياري وكشف افتراضي عن عوامل خطر الأمن السيبراني. وفي الشهر نفسه، جاء في شكوى هيئة الأوراق المالية والبورصة ما يلي: "كتب براون في عرض تقديمي داخلي أن شركة SolarWinds"الوضع الأمني الحالي يتركنا في حالة ضعف شديد بالنسبة لأصولنا الحيوية".
هذا التناقض كبير، وقالت هيئة الأوراق المالية والبورصات إن الأمر أصبح أسوأ. على الرغم من أن موظفي SolarWinds والمديرين التنفيذيين كانوا على علم بالمخاطر المتزايدة ونقاط الضعف والهجمات ضد منتجات SolarWinds بمرور الوقت، إلا أن "الإفصاحات عن مخاطر الأمن السيبراني لشركة SolarWinds لم تكشف عنها بأي شكل من الأشكال". لتوضيح وجهة نظرها، قامت هيئة الأوراق المالية والبورصات بإدراج جميع ملفات هيئة الأوراق المالية والبورصة العامة بعد الاكتتاب العام والتي تضمنت نفس الكشف عن مخاطر الأمن السيبراني النموذجي دون تغيير.
ولإعادة صياغة شكوى لجنة الأوراق المالية والبورصة: "حتى لو كانت بعض المخاطر والحوادث الفردية التي تمت مناقشتها في هذه الشكوى لم ترقى إلى مستوى المطالبة بالإفصاح من تلقاء نفسها... فقد خلقت مجتمعة مثل هذا الخطر المتزايد..." لدرجة أن إفصاحات SolarWinds أصبحت "مضللة إلى حد كبير". ". والأسوأ من ذلك، وفقًا لهيئة الأوراق المالية والبورصات، أن شركة SolarWinds كررت الإفصاحات النموذجية العامة حتى مع تراكم عدد متزايد من الأعلام الحمراء.
أحد الأشياء الأولى التي تتعلمها كمحامي الأوراق المالية هو أن الإفصاحات وعوامل الخطر والتغييرات في عوامل الخطر في ملفات SEC الخاصة بالشركة لها أهمية كبيرة. يتم استخدامها من قبل المستثمرين ومحللي الأوراق المالية في تقييم عمليات شراء وبيع الأسهم والتوصية بها. لقد فوجئت عندما قرأت في أحد ملخصات الأصدقاء أن "مسؤولي أمن المعلومات ليسوا مسؤولين عادةً عن صياغة أو الموافقة على" الإفصاحات العامة. ربما ينبغي أن يكونوا كذلك.
اقتراح الملاذ الآمن للعلاج
أريد أن أقترح شيئًا مختلفًا: ملاذ آمن لعلاج مخاطر وحوادث الأمن السيبراني. ولم تكن لجنة الأوراق المالية والبورصات عمياء عن مسألة العلاج. وجاء في هذا الصدد:
"فشلت شركة SolarWinds أيضًا في معالجة المشكلات الموضحة أعلاه قبل طرحها العام الأولي في أكتوبر 2018، وبالنسبة للعديد منها، لعدة أشهر أو سنوات بعد ذلك. وبالتالي، تمكنت الجهات الفاعلة في مجال التهديد لاحقًا من استغلال ثغرة VPN التي لم تتم معالجتها بعد للوصول إلى أنظمة SolarWinds الداخلية في يناير 2019، وتجنب الكشف لمدة عامين تقريبًا، وفي النهاية إدخال تعليمات برمجية ضارة أدت إلى هجوم SUNBURST الإلكتروني.
في اقتراحي، إذا قامت أي شركة بمعالجة أوجه القصور أو الهجوم خلال الإطار الزمني لمدة أربعة أيام، فيجب أن تكون قادرة على (أ) تجنب مطالبة الاحتيال (أي ليس هناك ما يمكن التحدث عنه) أو (ب) استخدام المعيارين 10Q و10K العملية، بما في ذلك قسم المناقشة والتحليل الإداري، للكشف عن الحادث. ربما لم يساعد هذا SolarWinds. وعندما كشفت عن الموقف، قالت شركة 8K إن برنامج الشركة "يحتوي على تعليمات برمجية ضارة تم إدراجها من قبل جهات التهديد" دون أي إشارة إلى العلاج. ومع ذلك، بالنسبة لعدد لا يحصى من الشركات العامة الأخرى التي تواجه المعركة التي لا تنتهي بين المهاجم والمدافع، فإن الملاذ الآمن للعلاج سيسمح لها بإطار زمني كامل مدته أربعة أيام لتقييم الحادث والاستجابة له. ثم، إذا تم علاجه، خذ الوقت الكافي للكشف عن الحادث بشكل صحيح. والفائدة الأخرى لنهج "العلاج أولاً" هذا هو أنه سيكون هناك تركيز أكبر على الاستجابة السيبرانية وتأثير أقل على الأسهم العامة للشركة. لا يزال من الممكن استخدام 8Ks في حوادث الأمن السيبراني التي لم يتم حلها.
وفي الختام
بغض النظر عن موقفك بشأن مسألة ما إذا كان ينبغي على هيئة الأوراق المالية والبورصات التصرف أم لا، فإن مسألة كيف ومتى وأين نكشف عن حوادث الأمن السيبراني ستكون مسألة كبيرة لجميع المتخصصين في مجال الإنترنت. من جهتي، أعتقد أن رئيس أمن المعلومات يجب أن يتحكم أو على الأقل يوافق على إفصاحات الشركة عند ظهور حوادث الأمن السيبراني. علاوة على ذلك، يجب على CISO أن يبحث عن منصات توفر لوحًا زجاجيًا واحدًا "لرؤيتها وحلها" بسرعة، مع أقل قدر ممكن من التبعيات. إذا تمكنا من تشجيع هيئة الأوراق المالية والبورصات على تبني عقلية العلاج أولاً، فقد نفتح الباب أمام الكشف بشكل أفضل عن الأمن السيبراني للجميع.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cyberattacks-data-breaches/solarwinds-2024-where-do-cyber-disclosures-go-from-here
