KOMMENTAR

In einem früheren Artikel, habe ich dargelegt, was die Anklagen und die Vier-Tage-Regel der Securities and Exchange Commission (SEC) SolarWinds für DevSecOps bedeuten. Stellen wir heute eine andere Frage: Wohin führen Cyber-Offenlegungen von hier aus?

Bevor ich in die Cybersicherheitsbranche einstieg, war ich Wertpapieranwalt. Ich habe viel Zeit damit verbracht, mich mit den SEC-Regeln vertraut zu machen, und habe regelmäßig mit der SEC zusammengearbeitet. Dieser Artikel ist keine Rechtsberatung. Es handelt sich um einen praktischen Rat von jemandem, der mit der SEC wirklich, wenn auch nur entfernt, vertraut ist.

Die SEC-Anklageschrift in Kürze

Am 30. Oktober 2023 wurde die SEC reichte eine Beschwerde ein gegen SolarWinds und seinen Chief Information Security Officer mit dem Vorwurf „Betrug und Versäumnisse bei der internen Kontrolle“ sowie „falsche Darstellungen, Auslassungen und Pläne, die sowohl die schlechten Cybersicherheitspraktiken des Unternehmens als auch seine erhöhten – und zunehmenden – Cybersicherheitsrisiken verschleiern“, einschließlich der Auswirkungen eines tatsächlichen Angriff auf seine Systeme und Kunden. 

Die „Sollte“-Frage beiseite legen 

Ich möchte die Frage außer Acht lassen, ob die SEC hätte Maßnahmen ergreifen sollen. Es gibt bereits viele Stimmen zu diesem Thema. Einige argumentieren, dass die öffentlichen Aussagen von SolarWinds zur Cybersicherheit erstrebenswert und nicht sachlich seien. Andere vertreten den Standpunkt, dass der CISO nicht ins Visier genommen werden sollte, weil seine Abteilung nicht in der Lage sei, die erforderlichen Abwehrmaßnahmen zu ergreifen. Dabei verließ er sich auf andere. Schließlich argumentierten die zur Unterstützung von SolarWinds und seinem CISO eingereichten Amicus-Schriftsätze, dass der Fall eine … abschreckende Wirkung auf die Einstellung und Beibehaltung von CISO-Rollen, interne Kommunikation, Bemühungen zur Verbesserung der Cybersicherheit und mehr. 

Das Cyber-Disclosure-Problem 

Die SEC begann ihre Beschwerde mit dem Hinweis, dass das Unternehmen seine IPO-Registrierungserklärung im Oktober 2018 eingereicht habe. Dieses Dokument enthielt einen Standardtext und eine hypothetische Offenlegung von Cybersicherheitsrisikofaktoren. Im selben Monat heißt es in der Beschwerde der SEC: „Brown schrieb in einer internen Präsentation, dass SolarWinds“Der aktuelle Sicherheitszustand versetzt uns in eine sehr anfällige Lage für unsere kritischen Vermögenswerte. '"

Diese Diskrepanz ist groß und die SEC sagte, sie sei nur noch schlimmer geworden. Obwohl die Mitarbeiter und Führungskräfte von SolarWinds über die im Laufe der Zeit zunehmenden Risiken, Schwachstellen und Angriffe auf die Produkte von SolarWinds Bescheid wussten, „wurden sie in den Offenlegungen zu Cybersicherheitsrisiken in keiner Weise offengelegt.“ Um ihren Standpunkt zu verdeutlichen, listete die SEC alle öffentlichen SEC-Einreichungen nach dem Börsengang auf, die dieselbe, unveränderte, hypothetische Offenlegung von Cybersicherheitsrisiken enthielten. 

Um die Beschwerde der SEC zu paraphrasieren: „Selbst wenn einige der einzelnen Risiken und Vorfälle, die in dieser Beschwerde besprochen werden, nicht so weit reichten, dass sie für sich genommen eine Offenlegung erforderten, stellten sie insgesamt ein so erhöhtes Risiko dar …“, dass die Offenlegungen von SolarWinds „wesentlich irreführend“ wurden .“ Schlimmer noch: Nach Angaben der SEC wiederholte SolarWinds die allgemeinen Standardoffenlegungen, obwohl sich immer mehr Warnsignale häuften. 

Eines der ersten Dinge, die Sie als Wertpapieranwalt lernen, ist, dass Offenlegungen, Risikofaktoren und Änderungen der Risikofaktoren in den SEC-Anmeldungen eines Unternehmens äußerst wichtig sind. Sie werden von Anlegern und Wertpapieranalysten zur Bewertung und Empfehlung von Aktienkäufen und -verkäufen verwendet. Ich war überrascht, in einem der Amicus-Briefs zu lesen, dass „CISOs normalerweise nicht für die Ausarbeitung oder Genehmigung“ öffentlicher Offenlegungen verantwortlich sind. Vielleicht sollten sie es sein. 

Vorschlag eines sicheren Hafens zur Sanierung 

Ich möchte etwas anderes vorschlagen: einen sicheren Hafen zur Behebung von Cybersicherheitsrisiken und -vorfällen. Die SEC war gegenüber der Frage der Sanierung nicht blind. Hierzu hieß es:

„SolarWinds hat es auch versäumt, die oben beschriebenen Probleme vor seinem Börsengang im Oktober 2018 und bei vielen davon auch noch Monate oder Jahre danach zu beheben. So konnten Bedrohungsakteure später im Januar 2019 die immer noch nicht behobene VPN-Schwachstelle ausnutzen, um auf die internen Systeme von SolarWinds zuzugreifen, der Entdeckung fast zwei Jahre lang zu entgehen und schließlich bösartigen Code einzuschleusen, was zum SUNBURST-Cyberangriff führte.“

In meinem Vorschlag sollte ein Unternehmen, wenn es die Mängel oder den Angriff innerhalb des Zeitrahmens von vier Tagen behebt, in der Lage sein, (a) einen Betrugsanspruch zu vermeiden (d. h. es gibt nichts, worüber man reden muss) oder (b) die Standards 10Q und 10K zu verwenden Verfahren, einschließlich des Abschnitts „Managementdiskussion und -analyse“, um den Vorfall offenzulegen. Dies hat SolarWinds möglicherweise nicht geholfen. Als es die Situation offenlegte, sagte sein 8K, dass die Software des Unternehmens „bösartigen Code enthielt, der von Bedrohungsakteuren eingefügt worden war“, ohne jeglichen Hinweis auf Abhilfe. Dennoch würden unzählige andere börsennotierte Unternehmen, die sich dem nie endenden Kampf zwischen Angreifer und Verteidiger gegenübersehen, mit einem sicheren Hafen zur Behebung des Problems den vollen Zeitrahmen von vier Tagen einräumen, um den Vorfall zu bewerten und darauf zu reagieren. Wenn dann Abhilfe geschaffen wird, nehmen Sie sich die Zeit, den Vorfall ordnungsgemäß offenzulegen. Der andere Vorteil dieses „Remediate First“-Ansatzes besteht darin, dass mehr Gewicht auf die Cyber-Reaktion gelegt wird und die Auswirkungen auf die öffentlichen Aktien eines Unternehmens geringer sind. 8Ks könnten weiterhin für ungelöste Cybersicherheitsvorfälle verwendet werden. 

Zusammenfassung

Unabhängig davon, wie Sie sich zu der Frage äußern, ob die SEC hätte handeln sollen oder nicht, wird die Frage, wie, wann und wo wir Cybersicherheitsvorfälle offenlegen, für alle Cyber-Experten eine große Frage sein. Ich für meinen Teil bin der Meinung, dass der CISO die Offenlegungen des Unternehmens kontrollieren oder zumindest genehmigen sollte, wenn es zu Cybersicherheitsvorfällen kommt. Darüber hinaus sollte der CISO nach Plattformen suchen, die eine zentrale Übersicht bieten, um das Problem schnell „sehen und lösen“ zu können, und zwar mit möglichst geringen Abhängigkeiten. Wenn wir die SEC dazu ermutigen können, eine „Abhilfe zuerst“-Denkweise anzunehmen, könnten wir möglicherweise die Tür zu einer besseren Offenlegung der Cybersicherheit für alle öffnen. 

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/cyberattacks-data-breaches/solarwinds-2024-where-do-cyber-disclosures-go-from-here