نظر
در مقاله زودتر، من به معنای کیفرخواست و قانون چهار روزه SolarWinds کمیسیون بورس و اوراق بهادار (SEC) برای DevSecOps پرداختم. امروز، بیایید یک سوال متفاوت بپرسیم: افشای سایبری از اینجا به کجا می رسد؟
قبل از اینکه به صنعت امنیت سایبری بپیوندم، وکیل اوراق بهادار بودم. من زمان زیادی را صرف مرور قوانین SEC کردم و به طور منظم با SEC کار کردم. این مقاله مشاوره حقوقی نیست این توصیه عملی از کسی است که با SEC آشنایی واقعی، هرچند دور، دارد.
کیفرخواست SEC به طور خلاصه
در 30 اکتبر 2023، SEC شکایتی را ارائه کرد علیه SolarWinds و افسر ارشد امنیت اطلاعات آن، اتهام «شکستهای کلاهبرداری و کنترل داخلی» و «تحریفها، حذفافکنیها و طرحهایی که هم عملکرد ضعیف امنیت سایبری شرکت و هم خطرات امنیت سایبری تشدید و فزاینده آن را پنهان میکرد» از جمله تأثیر یک واقعیت واقعی. حمله به سیستم ها و مشتریان آن
کنار گذاشتن سوال "باید".
می خواهم کنار بگذارم که آیا SEC باید اقدامی می کرد یا خیر. در حال حاضر صداهای زیادی در مورد این موضوع وجود دارد. برخی استدلال میکنند که بیانیههای عمومی امنیت سایبری SolarWinds آرزویی بود، نه واقعی. دیگران این موضع را دارند که CISO نباید مورد هدف قرار گیرد زیرا بخش او نمی تواند دفاع لازم را ارائه دهد. او برای این کار به دیگران متکی بود. در نهایت، خلاصههای amicus که در حمایت از SolarWinds و CISO آن ثبت شد، استدلال کردند که این پرونده دارای یک اثر سرد کننده بر استخدام و حفظ نقش های CISO، ارتباطات داخلی، تلاش برای بهبود امنیت سایبری و موارد دیگر.
مشکل افشای سایبری
SEC شکایت خود را با اشاره به این که شرکت بیانیه ثبت IPO خود را در اکتبر 2018 ثبت کرد، آغاز کرد. در همان ماه، در شکایت کمیسیون بورس و اوراق بهادار آمده است: «براون در یک ارائه داخلی نوشت که SolarWinds»وضعیت امنیتی کنونی ما را در یک وضعیت بسیار آسیب پذیر برای دارایی های حیاتی خود قرار می دهد""
این اختلاف یک اختلاف بزرگ است و SEC گفت که فقط بدتر شده است. حتی با وجود اینکه کارمندان و مدیران SolarWinds از افزایش خطرات، آسیبپذیریها و حملات علیه محصولات SolarWinds در طول زمان میدانستند، "افشای خطرات امنیت سایبری SolarWinds به هیچ وجه آنها را فاش نکرد." SEC برای نشان دادن نظر خود، تمام پروندههای عمومی SEC پس از IPO را فهرست کرد که شامل افشای ریسک امنیت سایبری یکسان، بدون تغییر و فرضی بود.
به تعبیر شکایت SEC: "حتی اگر برخی از خطرات و حوادث فردی که در این شکایت مورد بحث قرار گرفت به خودی خود به سطحی نرسیدند که نیاز به افشای اطلاعات داشته باشند ... در مجموع آنها چنین خطری را افزایش دادند ..." که افشای SolarWinds "از لحاظ مادی گمراه کننده شد." " بدتر از آن، طبق گفته SEC، SolarWinds افشای عمومی دیگ بخار را حتی با انباشته شدن تعداد زیادی پرچم قرمز تکرار کرد.
یکی از اولین چیزهایی که به عنوان یک وکیل اوراق بهادار یاد می گیرید این است که افشا، عوامل خطر و تغییرات در عوامل خطر در پرونده های SEC یک شرکت بسیار مهم هستند. آنها توسط سرمایه گذاران و تحلیلگران اوراق بهادار در ارزیابی و توصیه خرید و فروش سهام استفاده می شوند. من از خواندن در یکی از خلاصههای amicus متعجب شدم که «سازمانهای اطلاعاتی معمولاً مسئول تهیه پیشنویس یا تأیید» افشای عمومی نیستند. شاید باید باشند.
پیشنهاد یک بندر امن اصلاحی
من می خواهم چیز متفاوتی را پیشنهاد کنم: یک بندر امن برای اصلاح خطرات و حوادث امنیت سایبری. SEC نسبت به مسئله اصلاح کور نبود. در این رابطه گفته شد:
SolarWinds همچنین نتوانست مشکلاتی را که در بالا توضیح داده شد قبل از IPO خود در اکتبر 2018، و برای بسیاری از آنها، برای ماهها یا سالها پس از آن اصلاح کند. بنابراین، عوامل تهدید توانستند بعداً از آسیبپذیری VPN هنوز اصلاح نشده برای دسترسی به سیستمهای داخلی SolarWinds در ژانویه 2019 سوء استفاده کنند، نزدیک به دو سال از شناسایی اجتناب کنند و در نهایت کدهای مخرب را وارد کنند که منجر به حمله سایبری SUNBURST میشود.
در پیشنهاد من، اگر هر شرکتی نقص ها یا حمله را در بازه زمانی چهار روزه برطرف کند، باید بتواند (الف) از ادعای تقلب اجتناب کند (یعنی صحبتی در مورد آن وجود ندارد) یا (ب) از استاندارد 10Q و 10K استفاده کند. فرآیند، از جمله بخش بحث و تحلیل مدیریت، برای افشای حادثه. این ممکن است به SolarWinds کمک نکرده باشد. هنگامی که این وضعیت را فاش کرد، 8K خود گفت که نرم افزار این شرکت "حاوی کد مخربی است که توسط عوامل تهدید وارد شده است" بدون هیچ اشاره ای به اصلاح. با این حال، برای تعداد بیشماری از شرکتهای دولتی دیگر که با نبرد بیپایان بین مهاجم و مدافع روبرو هستند، یک بندر امن اصلاحی به آنها این امکان را میدهد که چارچوب زمانی کامل چهار روزه را برای ارزیابی و پاسخ به حادثه به آنها بدهد. سپس، در صورت اصلاح، برای افشای مناسب حادثه وقت بگذارید. مزیت دیگر این رویکرد "اول اصلاح" این است که تاکید بیشتری بر پاسخ سایبری و تاثیر کمتری بر سهام عمومی یک شرکت خواهد داشت. 8Ks همچنان می تواند برای حوادث امنیت سایبری حل نشده استفاده شود.
نتیجه
مهم نیست که در مورد اینکه آیا کمیسیون بورس و اوراق بهادار باید اقدام میکرد یا نه، مهم نیست که چگونه، چه زمانی و کجا حوادث امنیت سایبری را فاش میکنیم، برای همه متخصصان سایبری بسیار مهم خواهد بود. به نوبه خود، من فکر می کنم که CISO باید افشای اطلاعات شرکت را در هنگام بروز حوادث امنیت سایبری کنترل یا حداقل تأیید کند. بیش از آن، CISO باید به دنبال پلتفرمهایی باشد که تنها یک صفحه شیشهای را برای «دیدن و حل آن» سریع، با کمترین وابستگیهای ممکن، فراهم کنند. اگر بتوانیم کمیسیون بورس و اوراق بهادار را تشویق کنیم که از یک طرز فکر اصلاحی استفاده کند، ممکن است در را برای افشای امنیت سایبری بهتر برای همه باز کنیم.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cyberattacks-data-breaches/solarwinds-2024-where-do-cyber-disclosures-go-from-here