MÄRKUSED

Aastal eelmises artiklis, käsitlesin seda, mida väärtpaberi- ja börsikomisjoni (SEC) SolarWindsi süüdistused ja neljapäevane reegel DevSecOpsi jaoks tähendavad. Täna küsime teistsuguse küsimuse: kuhu jõuavad küberavalikustamised?

Enne küberjulgeolekutööstusega liitumist olin väärtpaberiadvokaat. Veetsin palju aega SEC-reeglites navigeerimiseks ja töötasin SEC-iga regulaarselt. See artikkel ei ole juriidiline nõuanne. See on praktiline nõuanne kelleltki, kes SEC-i päriselt, kuigi kaugeltki tunneb.

SEC-i süüdistus lühidalt

30. oktoobril 2023 toimus SEC esitas kaebuse SolarWindsi ja selle infoturbe juhi vastu, süüdistades "pettusi ja sisekontrolli tõrkeid" ning "väärakajastamisi, väljajätmisi ja skeeme, mis varjasid nii ettevõtte kehva küberjulgeoleku praktikat kui ka selle kõrgendatud ja suurenevaid küberjulgeolekuriske", sealhulgas tegeliku tegevuse mõju. rünnak tema süsteemidele ja klientidele. 

Jättes küsimuse "peaks" kõrvale 

Ma tahan kõrvale jätta, kas SEC oleks pidanud midagi ette võtma. Sellel teemal on juba palju hääli. Mõned väidavad, et SolarWindsi avalikud küberturvalisuse avaldused olid püüdlused, mitte faktilised. Teised on seisukohal, et CISO-d ei tohiks sihikule võtta, kuna tema osakond ei suutnud vajalikke kaitsemeetmeid pakkuda. Ta lootis seda teiste peale. Lõpuks väitsid SolarWindsi ja selle CISO toetuseks esitatud amicus-teatised, et juhtumil on jahutav mõju CISO rollide palkamisele ja säilitamisele, sisesuhtlus, küberturvalisuse parandamise pingutused ja palju muud. 

Küberavalikustamise probleem 

SEC alustas oma kaebust sellega, et juhtis tähelepanu sellele, et ettevõte esitas oma IPO registreerimisavalduse 2018. aasta oktoobris. Sellel dokumendil oli ülevaade ja hüpoteetiline küberturvalisuse riskitegurite avalikustamine. Samal kuul seisab SECi kaebus: "Brown kirjutas siseesitluses, et SolarWinds'praegune turvalisus jätab meid meie kriitiliste varade jaoks väga haavatavasse seisu. ""

See lahknevus on suur ja SEC ütles, et see läks ainult hullemaks. Kuigi SolarWindsi töötajad ja juhid teadsid aja jooksul kasvavatest riskidest, haavatavustest ja rünnakutest SolarWindsi toodete vastu, ei avalikustanud SolarWindsi küberturvalisuse riskide avalikustamine neid mingil viisil. Selle mõtte illustreerimiseks loetles SEC kõik avalikud SEC-i dokumendid pärast IPO-d, mis sisaldasid sama, muutumatut, hüpoteetilist küberjulgeolekuriskide üldist avalikustamist. 

Parafraseerides SEC-i kaebust: "Isegi kui mõned selles kaebuses käsitletud üksikud riskid ja juhtumid ei tõusnud sellisele tasemele, et need nõudsid avalikustamist, tekitasid nad kollektiivselt nii suure riski ...", et SolarWindsi avalikustamine muutus "oluliselt eksitavaks". .” Mis veelgi hullem, SEC-i andmetel kordas SolarWinds üldiseid katlaplaadi avalikustamisi isegi siis, kui punaseid lippe oli kuhjunud. 

Üks esimesi asju, mida väärtpaberijuristina õpite, on see, et ettevõtte SEC-i dokumentides on avalikustamine, riskitegurid ja riskitegurite muudatused väga olulised. Investorid ja väärtpaberianalüütikud kasutavad neid aktsiate ostmise ja müügi hindamisel ja soovitamisel. Olin üllatunud, kui lugesin ühest amicus-teatisest, et "CISO-d ei vastuta tavaliselt avaliku teabe koostamise ega heakskiitmise eest". Võib-olla peaksid nad olema. 

Tervendamise ohutu sadama ettepanek 

Tahan välja pakkuda midagi muud: küberjulgeoleku riskide ja vahejuhtumite tervendamise turvasadamat. SEC ei olnud heastamise küsimuses pime. Sellega seoses öeldi:

„SolarWindsil ei õnnestunud lahendada ülalkirjeldatud probleeme enne 2018. aasta oktoobris toimunud IPO-d ja paljude puhul kuude või aastate jooksul pärast seda. Seega said ohutegijad hiljem ära kasutada endiselt parandamata VPN-i haavatavust, et pääseda ligi 2019. aasta jaanuaris SolarWindsi sisesüsteemidele, vältida tuvastamist peaaegu kaks aastat ja lõpuks sisestada pahatahtlikku koodi, mille tulemuseks oli SUNBURSTi küberrünnak.

Minu ettepaneku kohaselt, kui mõni ettevõte kõrvaldab puudused või ründab nelja päeva jooksul, peaks tal olema võimalik (a) vältida pettusenõude esitamist (st mitte millestki rääkida) või (b) kasutada standardseid 10Q ja 10K protsessi, sealhulgas juhtkonna arutelu ja analüüsi jaotist, et juhtum avalikustada. See ei pruugi SolarWindsi aidanud. Olukorra avalikustamisel ütles 8K, et ettevõtte tarkvara "sisaldas ründekoodi, mille olid sisestanud ohus osalejad" ilma parandusmeetmeteta. Sellegipoolest võimaldaks lugematute teiste avalike ettevõtete jaoks, kes seisavad silmitsi lõputu võitlusega ründaja ja kaitsja vahel, terve neljapäevane ajavahemik, et intsidenti hinnata ja sellele reageerida. Seejärel, kui see on kõrvaldatud, leidke aega, et juhtum õigesti avalikustada. Selle „kõigepealt parandage” lähenemisviisi teine ​​eelis on see, et rohkem rõhku pannakse küberreageerimisele ja see mõjutab vähem ettevõtte aktsiaid. 8K-sid saab endiselt kasutada lahendamata küberjulgeolekuintsidentide jaoks. 

Järeldus

Olenemata sellest, kus te arutlete küsimusega, kas SEC oleks pidanud tegutsema või mitte, on küsimus, kuidas, millal ja kus me küberjulgeolekuintsidente avalikustame, kõigi küberprofessionaalide jaoks suur küsimus. Omalt poolt arvan, et CISO peaks kontrollima või vähemalt heaks kiitma ettevõtte avalikustamise küberjulgeolekuintsidentide ilmnemisel. Veelgi enam, CISO peaks otsima platvorme, mis pakuvad ühte klaaspinda, et seda kiiresti näha ja lahendada, võimalikult väheste sõltuvustega. Kui suudame julgustada SEC-i omaks võtma esmajärjekorras mõtteviisi, võime avada ukse kõigile paremale küberturvalisuse avalikustamisele. 

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/cyberattacks-data-breaches/solarwinds-2024-where-do-cyber-disclosures-go-from-here