SolarWinds 2024: ¿Adónde van las divulgaciones cibernéticas a partir de aquí?

COMENTARIO

En una artículo anterior, cubrí lo que significan las acusaciones de SolarWinds de la Comisión de Bolsa y Valores (SEC) y la regla de cuatro días para DevSecOps. Hoy, hagamos una pregunta diferente: ¿a dónde van las divulgaciones cibernéticas a partir de aquí?

Antes de unirme a la industria de la ciberseguridad, era abogado de valores. Pasé mucho tiempo navegando por las reglas de la SEC y trabajé con la SEC de forma regular. Este artículo no es asesoramiento legal. Es un consejo práctico de alguien con una familiaridad real, aunque distante, con la SEC.

La acusación de la SEC en pocas palabras

En octubre 30, 2023, el La SEC presentó una denuncia contra SolarWinds y su director de seguridad de la información, acusando de “fraude y fallas de control interno” y “declaraciones erróneas, omisiones y esquemas que ocultaban tanto las malas prácticas de ciberseguridad de la Compañía como sus mayores (y crecientes) riesgos de ciberseguridad”, incluido el impacto de una amenaza real. ataque a sus sistemas y clientes.

Dejando de lado la pregunta del “debería”

Quiero dejar de lado si la SEC debería haber tomado medidas. Ya hay muchas voces sobre este tema. Algunos argumentan que las declaraciones públicas sobre ciberseguridad de SolarWinds eran aspiraciones, no hechos. Otros adoptan la posición de que el CISO no debería ser el objetivo porque su departamento no pudo ofrecer las defensas necesarias. Confió en otros para hacerlo. Finalmente, los escritos amicus curiae presentados en apoyo de SolarWinds y su CISO argumentaron que el caso tendrá un efecto paralizador en la contratación y retención de roles de CISO, comunicación interna, esfuerzos para mejorar la ciberseguridad y más.

El problema de la divulgación cibernética

La SEC comenzó su queja señalando que la compañía presentó su declaración de registro de IPO en octubre de 2018. Ese documento tenía una divulgación repetitiva y hipotética de factores de riesgo de ciberseguridad. El mismo mes, la denuncia de la SEC dice: "Brown escribió en una presentación interna que SolarWinds'El estado actual de seguridad nos deja en un estado muy vulnerable para nuestros activos críticos.. '”

Esta discrepancia es grande y la SEC dijo que solo empeoró. Aunque los empleados y ejecutivos de SolarWinds conocían los crecientes riesgos, vulnerabilidades y ataques contra los productos de SolarWinds a lo largo del tiempo, "las divulgaciones de riesgos de ciberseguridad de SolarWinds no los revelaron de ninguna manera". Para ilustrar su punto, la SEC enumeró todas las presentaciones públicas de la SEC después de la IPO que incluían la misma divulgación de riesgos de ciberseguridad repetitiva, hipotética y sin cambios.

Parafraseando la queja de la SEC: "Incluso si algunos de los riesgos e incidentes individuales discutidos en esta queja no alcanzaron el nivel de requerir divulgación por sí solos... colectivamente crearon un riesgo tal incrementado..." que las revelaciones de SolarWinds se volvieron "materialmente engañosas". .” Peor aún, según la SEC, SolarWinds repitió las divulgaciones genéricas repetitivas incluso cuando se acumulaba un número creciente de señales de alerta.

Una de las primeras cosas que aprende como abogado de valores es que las divulgaciones, los factores de riesgo y los cambios en los factores de riesgo en las presentaciones ante la SEC de una empresa son muy importantes. Los utilizan inversores y analistas de valores para evaluar y recomendar compras y ventas de acciones. Me sorprendió leer en uno de los escritos amicus curiae que “los CISO no suelen ser responsables de redactar o aprobar” las divulgaciones públicas. Quizás deberían serlo.

Proponer un puerto seguro de remediación

Quiero proponer algo diferente: un puerto seguro de remediación para riesgos e incidentes de ciberseguridad. La SEC no estaba ciega ante la cuestión de la remediación. Al respecto dijo:

“SolarWinds tampoco logró solucionar los problemas descritos anteriormente antes de su oferta pública inicial en octubre de 2018 y, en muchos de ellos, durante meses o años después. Por lo tanto, los actores de amenazas pudieron explotar más tarde la vulnerabilidad VPN aún sin remediar para acceder a los sistemas internos de SolarWinds en enero de 2019, evitar la detección durante casi dos años y, en última instancia, insertar código malicioso que resultó en el ciberataque SUNBURST”.

En mi propuesta, si alguna empresa soluciona las deficiencias o el ataque dentro del plazo de cuatro días, debería poder (a) evitar una reclamación por fraude (es decir, no hay nada de qué hablar) o (b) utilizar los estándares 10Q y 10K. proceso, incluida la sección de Discusión y Análisis de la Gerencia, para revelar el incidente. Es posible que esto no haya ayudado a SolarWinds. Cuando reveló la situación, su 8K dijo que el software de la compañía "contenía código malicioso que había sido insertado por actores de amenazas" sin ninguna referencia a remediación. Aún así, para muchas otras empresas públicas que enfrentan la batalla interminable entre atacante y defensor, un puerto seguro de remediación les permitiría el plazo completo de cuatro días para evaluar y responder al incidente. Luego, si se soluciona, tómese el tiempo para revelar el incidente adecuadamente. El otro beneficio de este enfoque de “remediar primero” es que habrá más énfasis en la respuesta cibernética y menos impacto en las acciones públicas de una empresa. Los 8K aún podrían usarse para incidentes de ciberseguridad no resueltos.

Conclusión

No importa cuál sea su opinión sobre si la SEC debería haber actuado o no, la cuestión de cómo, cuándo y dónde divulgamos los incidentes de ciberseguridad será importante para todos los ciberprofesionales. Por mi parte, creo que el CISO debería controlar o, al menos, aprobar las divulgaciones de la empresa cuando surgen incidentes de ciberseguridad. Más que eso, el CISO debería buscar plataformas que proporcionen un panel único para “verlo y resolverlo” rápidamente, con la menor cantidad de dependencias posible. Si podemos alentar a la SEC a adoptar una mentalidad de remediar primero, podríamos abrir la puerta a una mejor divulgación de la ciberseguridad para todos.

Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
Fuente: https://www.darkreading.com/cyberattacks-data-breaches/solarwinds-2024-where-do-cyber-disclosures-go-from-here

Inteligencia de datos generativa

SolarWinds 2024: ¿Hacia dónde van las divulgaciones cibernéticas a partir de ahora?

La acusación de la SEC en pocas palabras

Dejando de lado la pregunta del “debería”

El problema de la divulgación cibernética

Proponer un puerto seguro de remediación

Conclusión

Seis clientes de Coinbase afirman que el intercambio está violando las leyes de valores en una nueva demanda

Seis clientes de Coinbase afirman que el intercambio está violando las leyes de valores en una nueva demanda

Información más reciente

Estas divisiones contribuyeron significativamente a las ganancias de Tether en el primer trimestre de 1 de 2024 millones de dólares

Estas divisiones contribuyeron significativamente a las ganancias de Tether en el primer trimestre de 1 de 2024 millones de dólares

El refrigerador de tubo de pulso modificado reduce a la mitad los tiempos de enfriamiento criogénico – Physics World

Ex ejecutivo de FTX Europe compra reloj Titanic Gold por 1.5 millones de dólares: informe

Ex ejecutivo de FTX Europe compra reloj Titanic Gold por 1.5 millones de dólares: informe

Las tácticas de distribución de tokens deberían centrarse en el valor real, no en las exageraciones, dice el fundador de Uniswap

Habla con nosotros!