SolarWinds 2024: Where Do Cyber Disclosures Go From Here?

KOMMENTIT

Vuonna aiemmin artikkeliKerroin, mitä Securities and Exchange Commissionin (SEC) SolarWindsin syytteet ja neljän päivän sääntö tarkoittavat DevSecOpsille. Tänään kysytään erilainen kysymys: Mihin kyberilmoitukset tulevat täältä?

Ennen kyberturvallisuusalalle tuloani olin arvopaperilakimies. Vietin paljon aikaa SEC-sääntöjen navigointiin ja työskentelin SEC:n kanssa säännöllisesti. Tämä artikkeli ei ole oikeudellinen neuvo. Se on käytännöllinen neuvo henkilöltä, joka tuntee SEC:n todella, vaikkakin kaukana.

SEC:n syytteet pähkinänkuoressa

30. lokakuuta 2023 SEC teki valituksen SolarWindsia ja sen tietoturvapäällikköä vastaan syyttämällä "petoksia ja sisäisen valvonnan epäonnistumisia" ja "virheitä, puutteita ja suunnitelmia, jotka kätkivät sekä Yhtiön huonot kyberturvallisuuskäytännöt että sen lisääntyneet – ja kasvavat – kyberturvallisuusriskit, mukaan lukien todellisen toiminnan vaikutukset. hyökkäys sen järjestelmiä ja asiakkaita vastaan.

"Pitäisikö"-kysymyksen laittaminen sivuun

Haluan jättää huomiotta, olisiko SEC:n pitänyt ryhtyä toimiin. Tästä aiheesta on jo paljon ääniä. Jotkut väittävät, että SolarWindin julkiset kyberturvallisuuslausunnot olivat pyrkimyksiä, eivät tosiasioihin perustuvia. Toiset ovat sitä mieltä, että CISO:ta ei pitäisi kohdistaa, koska hänen osastonsa ei pystynyt toimittamaan vaadittua puolustusta. Hän luotti siihen, että muut tekevät niin. Lopuksi SolarWindsin ja sen CISO:n tueksi jätetyt amicus-selvitykset väittivät, että tapauksella on jäähdyttävä vaikutus CISO-roolien palkkaamiseen ja säilyttämiseen, sisäinen viestintä, pyrkimykset parantaa kyberturvallisuutta ja paljon muuta.

Kybertietojen paljastamisen ongelma

SEC aloitti valituksensa huomauttamalla, että yritys jätti IPO-rekisteröintilausunnon lokakuussa 2018. Asiakirjassa oli pohjapiirros ja hypoteettinen kyberturvallisuuden riskitekijän paljastaminen. Samassa kuussa SEC:n valituksessa lukee: "Brown kirjoitti sisäisessä esityksessään, että SolarWinds'Nykyinen turvallisuustila jättää meidät erittäin haavoittuvaiseen tilaan kriittisten omaisuutemme vuoksi. "

Tämä ero on suuri, ja SEC sanoi, että se vain paheni. Vaikka SolarWindsin työntekijät ja johtajat tiesivät kasvavista riskeistä, haavoittuvuuksista ja hyökkäyksistä SolarWindsin tuotteita vastaan ajan myötä, "SolarWindsin kyberturvallisuusriskejä koskevat tiedot eivät paljastaneet niitä millään tavalla." Asiansa havainnollistamiseksi SEC listasi kaikki julkiset SEC-hakemukset listautumisannin jälkeen, jotka sisälsivät saman, muuttumattomana, hypoteettisen kyberturvallisuusriskin yleiskuvauksen.

Parafraasin SEC:n valitusta: "Vaikka jotkin tässä valituksessa käsitellyistä yksittäisistä riskeistä ja tapauksista eivät nousseet tasolle, että ne vaatisivat julkistamista... yhdessä ne loivat niin suuren riskin ...", että SolarWindin ilmoitukset muuttuivat "olennaisesti harhaanjohtaviksi". .” Vielä pahempaa on, että SEC:n mukaan SolarWinds toisti yleiset tiedot, vaikka punaisia lippuja kertyi kasaan.

Yksi ensimmäisistä asioista, jonka opit arvopaperilakimiehenä, on se, että yrityksen SEC-ilmoituksissa olevat tiedot, riskitekijät ja riskitekijöiden muutokset ovat erittäin tärkeitä. Sijoittajat ja arvopaperianalyytikot käyttävät niitä arvioidessaan ja suositteleessaan osakkeiden ostoja ja myyntiä. Yllätyin lukiessani yhdestä amicus-tiedotteesta, että "CISO:t eivät yleensä ole vastuussa julkisten tietojen laatimisesta tai hyväksymisestä". Ehkä niiden pitäisi olla.

Korjauksen turvasataman ehdottaminen

Haluan ehdottaa jotain erilaista: turvasatamaa kyberturvallisuusriskeille ja -onnettomuuksille. SEC ei ollut sokea korjaamisen kysymykselle. Tältä osin se sanoi:

"SolarWinds ei myöskään onnistunut korjaamaan yllä kuvattuja ongelmia ennen listautumistaan lokakuussa 2018, eikä monien kohdalla kuukausia tai vuosia sen jälkeen. Siten uhkatoimijat pystyivät myöhemmin hyödyntämään edelleen korjaamatonta VPN-haavoittuvuutta päästäkseen SolarWindin sisäisiin järjestelmiin tammikuussa 2019, välttämään havaitsemisen lähes kahden vuoden ajan ja lopulta lisäämään haitallista koodia, joka johti SUNBURST-kyberhyökkäykseen.

Ehdotukseni mukaan, jos jokin yritys korjaa puutteet tai hyökkää neljän päivän kuluessa, sen pitäisi pystyä (a) välttämään petosvaatimus (eli ei mitään puhuttavaa) tai (b) käyttämään standardeja 10Q ja 10K prosessi, mukaan lukien Johdon keskustelu ja analyysi -osio tapahtuman paljastamiseksi. Tämä ei ehkä auttanut SolarWindsia. Kun se paljasti tilanteen, sen 8K sanoi, että yrityksen ohjelmisto "sisäsi haitallista koodia, jonka uhkatekijät olivat lisänneet" ilman mitään viittausta korjaamiseen. Kuitenkin lukemattomille muille julkisille yrityksille, jotka kohtaavat loputonta taistelua hyökkääjän ja puolustajan välillä, korjaamisen turvallinen satama antaisi niille täyden neljän päivän ajan arvioida tapausta ja reagoida siihen. Sitten, jos se korjataan, käytä aikaa paljastaaksesi tapaus asianmukaisesti. Tämän "korjaa ensin" -lähestymistavan toinen etu on se, että kyberreagointia painotetaan enemmän ja se vaikuttaa vähemmän yrityksen julkisiin osakkeisiin. 8K:ta voitaisiin edelleen käyttää ratkaisemattomiin kyberturvallisuushäiriöihin.

Yhteenveto

Riippumatta siitä, missä kohtaa kysymyksen siitä, olisiko SEC:n pitänyt toimia vai ei, kysymys siitä, miten, milloin ja missä paljastamme kyberturvallisuustapaukset, on suuri kaikille kyberammattilaisille. Omalta osaltani olen sitä mieltä, että CISO:n tulisi valvoa tai ainakin hyväksyä yrityksen tiedotukset kyberturvallisuushäiriöiden ilmaantuessa. Lisäksi CISO:n tulisi etsiä alustoja, jotka tarjoavat yhden lasin, jotta se "näkee ja ratkaisee" nopeasti, mahdollisimman vähin riippuvuuksin. Jos voimme rohkaista SEC:tä omaksumaan korjaustoimien ajattelutavan, saatamme vain avata oven parempaan kyberturvallisuustietojen paljastamiseen kaikille.

SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
Lähde: https://www.darkreading.com/cyberattacks-data-breaches/solarwinds-2024-where-do-cyber-disclosures-go-from-here

Generatiivinen tiedustelu

SolarWinds 2024: Mihin kyberilmoitukset tulevat täältä?

SEC:n syytteet pähkinänkuoressa

"Pitäisikö"-kysymyksen laittaminen sivuun

Kybertietojen paljastamisen ongelma

Korjauksen turvasataman ehdottaminen

Yhteenveto

FG aikoo ottaa käyttöön tiukat määräykset 57 miljardin dollarin kryptoyrityksille, jotka toimivat Rescue Nairan - CryptoInfoNet

JBM Healthcare on ilmoittanut positiivisesta voitosta

Uusin älykkyys

Raportti: Bitget, Native Token BGB Thrive in Q1 2024 | BitPinas

Uusi maailmanlaajuinen valuutta, joka on suunniteltu luopumaan Yhdysvaltain dollarista, estämään pakotteiden syntyminen, kun BRICS-johtajat valmistautuvat tapaamiseen: Raportti – The Daily Hodl

8 tärkeää kaupankäyntistrategiaa kryptovaluuttasijoittajille – CryptoInfoNet

Solana vakiinnutti itsensä "kolmanneksi merkittäväksi kryptoomaisuudeksi" Bitcoinin ja Ethereumin jälkeen: Franklin Templeton – The Daily Hodl

BDAG paljastaa kryptomaksuvaihtoehdot, Over Aave & The Graph

BlockDAG: 2024 Forbes Leak & The Enigma Behind – tuleeko se nousuun? Vahingossa altistuminen

Keskustele kanssamme