نظر

در مقاله زودتر، من به معنای کیفرخواست و قانون چهار روزه SolarWinds کمیسیون بورس و اوراق بهادار (SEC) برای DevSecOps پرداختم. امروز، بیایید یک سوال متفاوت بپرسیم: افشای سایبری از اینجا به کجا می رسد؟

قبل از اینکه به صنعت امنیت سایبری بپیوندم، وکیل اوراق بهادار بودم. من زمان زیادی را صرف مرور قوانین SEC کردم و به طور منظم با SEC کار کردم. این مقاله مشاوره حقوقی نیست این توصیه عملی از کسی است که با SEC آشنایی واقعی، هرچند دور، دارد.

کیفرخواست SEC به طور خلاصه

در 30 اکتبر 2023، SEC شکایتی را ارائه کرد علیه SolarWinds و افسر ارشد امنیت اطلاعات آن، اتهام «شکست‌های کلاهبرداری و کنترل داخلی» و «تحریف‌ها، حذف‌افکنی‌ها و طرح‌هایی که هم عملکرد ضعیف امنیت سایبری شرکت و هم خطرات امنیت سایبری تشدید و فزاینده آن را پنهان می‌کرد» از جمله تأثیر یک واقعیت واقعی. حمله به سیستم ها و مشتریان آن 

کنار گذاشتن سوال "باید". 

می خواهم کنار بگذارم که آیا SEC باید اقدامی می کرد یا خیر. در حال حاضر صداهای زیادی در مورد این موضوع وجود دارد. برخی استدلال می‌کنند که بیانیه‌های عمومی امنیت سایبری SolarWinds آرزویی بود، نه واقعی. دیگران این موضع را دارند که CISO نباید مورد هدف قرار گیرد زیرا بخش او نمی تواند دفاع لازم را ارائه دهد. او برای این کار به دیگران متکی بود. در نهایت، خلاصه‌های amicus که در حمایت از SolarWinds و CISO آن ثبت شد، استدلال کردند که این پرونده دارای یک اثر سرد کننده بر استخدام و حفظ نقش های CISO، ارتباطات داخلی، تلاش برای بهبود امنیت سایبری و موارد دیگر. 

مشکل افشای سایبری 

SEC شکایت خود را با اشاره به این که شرکت بیانیه ثبت IPO خود را در اکتبر 2018 ثبت کرد، آغاز کرد. در همان ماه، در شکایت کمیسیون بورس و اوراق بهادار آمده است: «براون در یک ارائه داخلی نوشت که SolarWinds»وضعیت امنیتی کنونی ما را در یک وضعیت بسیار آسیب پذیر برای دارایی های حیاتی خود قرار می دهد""

این اختلاف یک اختلاف بزرگ است و SEC گفت که فقط بدتر شده است. حتی با وجود اینکه کارمندان و مدیران SolarWinds از افزایش خطرات، آسیب‌پذیری‌ها و حملات علیه محصولات SolarWinds در طول زمان می‌دانستند، "افشای خطرات امنیت سایبری SolarWinds به هیچ وجه آنها را فاش نکرد." SEC برای نشان دادن نظر خود، تمام پرونده‌های عمومی SEC پس از IPO را فهرست کرد که شامل افشای ریسک امنیت سایبری یکسان، بدون تغییر و فرضی بود. 

به تعبیر شکایت SEC: "حتی اگر برخی از خطرات و حوادث فردی که در این شکایت مورد بحث قرار گرفت به خودی خود به سطحی نرسیدند که نیاز به افشای اطلاعات داشته باشند ... در مجموع آنها چنین خطری را افزایش دادند ..." که افشای SolarWinds "از لحاظ مادی گمراه کننده شد." " بدتر از آن، طبق گفته SEC، SolarWinds افشای عمومی دیگ بخار را حتی با انباشته شدن تعداد زیادی پرچم قرمز تکرار کرد. 

یکی از اولین چیزهایی که به عنوان یک وکیل اوراق بهادار یاد می گیرید این است که افشا، عوامل خطر و تغییرات در عوامل خطر در پرونده های SEC یک شرکت بسیار مهم هستند. آنها توسط سرمایه گذاران و تحلیلگران اوراق بهادار در ارزیابی و توصیه خرید و فروش سهام استفاده می شوند. من از خواندن در یکی از خلاصه‌های amicus متعجب شدم که «سازمان‌های اطلاعاتی معمولاً مسئول تهیه پیش‌نویس یا تأیید» افشای عمومی نیستند. شاید باید باشند. 

پیشنهاد یک بندر امن اصلاحی 

من می خواهم چیز متفاوتی را پیشنهاد کنم: یک بندر امن برای اصلاح خطرات و حوادث امنیت سایبری. SEC نسبت به مسئله اصلاح کور نبود. در این رابطه گفته شد:

SolarWinds همچنین نتوانست مشکلاتی را که در بالا توضیح داده شد قبل از IPO خود در اکتبر 2018، و برای بسیاری از آنها، برای ماه‌ها یا سال‌ها پس از آن اصلاح کند. بنابراین، عوامل تهدید توانستند بعداً از آسیب‌پذیری VPN هنوز اصلاح نشده برای دسترسی به سیستم‌های داخلی SolarWinds در ژانویه 2019 سوء استفاده کنند، نزدیک به دو سال از شناسایی اجتناب کنند و در نهایت کدهای مخرب را وارد کنند که منجر به حمله سایبری SUNBURST می‌شود.

در پیشنهاد من، اگر هر شرکتی نقص ها یا حمله را در بازه زمانی چهار روزه برطرف کند، باید بتواند (الف) از ادعای تقلب اجتناب کند (یعنی صحبتی در مورد آن وجود ندارد) یا (ب) از استاندارد 10Q و 10K استفاده کند. فرآیند، از جمله بخش بحث و تحلیل مدیریت، برای افشای حادثه. این ممکن است به SolarWinds کمک نکرده باشد. هنگامی که این وضعیت را فاش کرد، 8K خود گفت که نرم افزار این شرکت "حاوی کد مخربی است که توسط عوامل تهدید وارد شده است" بدون هیچ اشاره ای به اصلاح. با این حال، برای تعداد بی‌شماری از شرکت‌های دولتی دیگر که با نبرد بی‌پایان بین مهاجم و مدافع روبرو هستند، یک بندر امن اصلاحی به آن‌ها این امکان را می‌دهد که چارچوب زمانی کامل چهار روزه را برای ارزیابی و پاسخ به حادثه به آن‌ها بدهد. سپس، در صورت اصلاح، برای افشای مناسب حادثه وقت بگذارید. مزیت دیگر این رویکرد "اول اصلاح" این است که تاکید بیشتری بر پاسخ سایبری و تاثیر کمتری بر سهام عمومی یک شرکت خواهد داشت. 8Ks همچنان می تواند برای حوادث امنیت سایبری حل نشده استفاده شود. 

نتیجه

مهم نیست که در مورد اینکه آیا کمیسیون بورس و اوراق بهادار باید اقدام می‌کرد یا نه، مهم نیست که چگونه، چه زمانی و کجا حوادث امنیت سایبری را فاش می‌کنیم، برای همه متخصصان سایبری بسیار مهم خواهد بود. به نوبه خود، من فکر می کنم که CISO باید افشای اطلاعات شرکت را در هنگام بروز حوادث امنیت سایبری کنترل یا حداقل تأیید کند. بیش از آن، CISO باید به دنبال پلتفرم‌هایی باشد که تنها یک صفحه شیشه‌ای را برای «دیدن و حل آن» سریع، با کمترین وابستگی‌های ممکن، فراهم کنند. اگر بتوانیم کمیسیون بورس و اوراق بهادار را تشویق کنیم که از یک طرز فکر اصلاحی استفاده کند، ممکن است در را برای افشای امنیت سایبری بهتر برای همه باز کنیم. 

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cyberattacks-data-breaches/solarwinds-2024-where-do-cyber-disclosures-go-from-here