टीका
एक में पहले लेख, मैंने कवर किया कि सिक्योरिटीज एंड एक्सचेंज कमीशन (एसईसी) सोलरविंड्स के अभियोग और चार-दिवसीय नियम का DevSecOps के लिए क्या मतलब है। आज, आइए एक अलग प्रश्न पूछें: साइबर खुलासे यहां से कहां जाते हैं?
साइबर सुरक्षा उद्योग में शामिल होने से पहले, मैं एक प्रतिभूति वकील था। मैंने एसईसी नियमों को समझने में काफी समय बिताया और नियमित आधार पर एसईसी के साथ काम किया। यह लेख कानूनी सलाह नहीं है. यह एसईसी से वास्तविक, भले ही दूर के, परिचित व्यक्ति की व्यावहारिक सलाह है।
एसईसी अभियोग संक्षेप में
30 अक्टूबर, 2023 को एसईसी ने शिकायत दर्ज की सोलरविंड्स और इसके मुख्य सूचना सुरक्षा अधिकारी के खिलाफ, "धोखाधड़ी और आंतरिक नियंत्रण विफलताओं" और "गलत बयान, चूक, और योजनाएं जो कंपनी की खराब साइबर सुरक्षा प्रथाओं और इसके बढ़ते - और बढ़ते - साइबर सुरक्षा जोखिमों" को छुपाती हैं, जिसमें वास्तविक प्रभाव भी शामिल है। इसके सिस्टम और ग्राहकों पर हमला।
"चाहिए" प्रश्न को एक तरफ रखना
मैं इस बात को अलग रखना चाहता हूं कि क्या एसईसी को कार्रवाई करनी चाहिए थी। इस विषय पर पहले से ही बहुत सारी आवाजें उठ रही हैं। कुछ लोगों का तर्क है कि सोलरविंड्स के सार्वजनिक साइबर सुरक्षा बयान तथ्यात्मक नहीं, बल्कि आकांक्षात्मक थे। दूसरों का मानना है कि सीआईएसओ को निशाना नहीं बनाया जाना चाहिए क्योंकि उसका विभाग आवश्यक सुरक्षा प्रदान नहीं कर सका। ऐसा करने के लिए वह दूसरों पर निर्भर था। अंत में, सोलरविंड्स और इसके सीआईएसओ के समर्थन में दायर किए गए एमिकस ब्रीफ ने तर्क दिया कि मामले में ए सीआईएसओ भूमिकाओं की नियुक्ति और प्रतिधारण पर ठंडा प्रभाव, आंतरिक संचार, साइबर सुरक्षा में सुधार के प्रयास, और बहुत कुछ।
साइबर-प्रकटीकरण समस्या
एसईसी ने अपनी शिकायत यह बताते हुए शुरू की कि कंपनी ने अक्टूबर 2018 में अपना आईपीओ पंजीकरण विवरण दाखिल किया था। उस दस्तावेज़ में बॉयलरप्लेट और काल्पनिक साइबर सुरक्षा जोखिम-कारक प्रकटीकरण था। उसी महीने, एसईसी की शिकायत में लिखा है, "ब्राउन ने एक आंतरिक प्रस्तुति में लिखा था कि सोलरविंड्स''सुरक्षा की वर्तमान स्थिति हमें हमारी महत्वपूर्ण संपत्तियों के लिए बहुत असुरक्षित स्थिति में छोड़ देती है। ' "
यह विसंगति बहुत बड़ी है और एसईसी ने कहा कि यह और भी बदतर हो गई है। भले ही सोलरविंड्स के कर्मचारियों और अधिकारियों को समय के साथ सोलरविंड्स के उत्पादों के खिलाफ बढ़ते जोखिमों, कमजोरियों और हमलों के बारे में पता था, "सोलरविंड्स के साइबर सुरक्षा जोखिम खुलासे ने उन्हें किसी भी तरह से प्रकट नहीं किया।" अपनी बात स्पष्ट करने के लिए, एसईसी ने आईपीओ के बाद सभी सार्वजनिक एसईसी फाइलिंग को सूचीबद्ध किया जिसमें समान, अपरिवर्तित, काल्पनिक, बॉयलरप्लेट साइबर सुरक्षा जोखिम प्रकटीकरण शामिल था।
एसईसी की शिकायत को स्पष्ट करने के लिए: "भले ही इस शिकायत में चर्चा किए गए कुछ व्यक्तिगत जोखिम और घटनाएं अपने आप में प्रकटीकरण की आवश्यकता के स्तर तक नहीं बढ़ीं... सामूहिक रूप से उन्होंने इतना बढ़ा जोखिम पैदा किया..." कि सोलरविंड्स के खुलासे "भौतिक रूप से भ्रामक" बन गए ।” इससे भी बुरी बात यह है कि एसईसी के अनुसार, सोलरविंड्स ने जेनेरिक बॉयलरप्लेट खुलासे को दोहराया, जबकि बड़ी संख्या में लाल झंडे जमा हो गए।
एक प्रतिभूति वकील के रूप में आप जो पहली चीज़ सीखते हैं, वह यह है कि किसी कंपनी की एसईसी फाइलिंग में प्रकटीकरण, जोखिम कारक और जोखिम कारकों में बदलाव बेहद महत्वपूर्ण हैं। इनका उपयोग निवेशकों और प्रतिभूति विश्लेषकों द्वारा स्टॉक खरीद और बिक्री का मूल्यांकन और अनुशंसा करने में किया जाता है। मुझे अमीकस ब्रीफ में से एक में यह पढ़कर आश्चर्य हुआ कि "सीआईएसओ आम तौर पर सार्वजनिक खुलासे का मसौदा तैयार करने या अनुमोदन करने के लिए ज़िम्मेदार नहीं हैं"। शायद उन्हें होना चाहिए.
एक उपचारात्मक सुरक्षित हार्बर का प्रस्ताव
मैं कुछ अलग प्रस्तावित करना चाहता हूं: साइबर सुरक्षा जोखिमों और घटनाओं के लिए एक उपचारात्मक सुरक्षित बंदरगाह। एसईसी सुधार के सवाल पर अँधा नहीं था। इस संबंध में इसने कहा:
“सोलरविंड्स अक्टूबर 2018 में अपने आईपीओ से पहले और उनमें से कई के लिए, महीनों या वर्षों तक ऊपर वर्णित मुद्दों को ठीक करने में विफल रहा। इस प्रकार, धमकी देने वाले कलाकार बाद में जनवरी 2019 में सोलरविंड्स के आंतरिक सिस्टम तक पहुंचने के लिए अभी भी असंतुलित वीपीएन भेद्यता का फायदा उठाने में सक्षम थे, लगभग दो वर्षों तक पता लगाने से बचते रहे, और अंततः दुर्भावनापूर्ण कोड डालने के परिणामस्वरूप सनबर्स्ट साइबर हमला हुआ।
मेरे प्रस्ताव में, यदि कोई कंपनी चार दिन की समय सीमा के भीतर कमियों को दूर करती है या हमला करती है, तो उसे (ए) धोखाधड़ी के दावे से बचने में सक्षम होना चाहिए (यानी, बात करने के लिए कुछ भी नहीं) या (बी) मानक 10Q और 10K का उपयोग करना चाहिए घटना का खुलासा करने के लिए प्रबंधन चर्चा और विश्लेषण अनुभाग सहित प्रक्रिया। इससे सोलरविंड्स को मदद नहीं मिली होगी। जब इसने स्थिति का खुलासा किया, तो इसके 8K ने कहा कि कंपनी के सॉफ़्टवेयर में "दुर्भावनापूर्ण कोड था जो खतरे वाले अभिनेताओं द्वारा डाला गया था" बिना किसी सुधार के संदर्भ के। फिर भी, हमलावर और रक्षक के बीच कभी न खत्म होने वाली लड़ाई का सामना करने वाली अनगिनत अन्य सार्वजनिक कंपनियों के लिए, एक उपचारात्मक सुरक्षित बंदरगाह उन्हें घटना का मूल्यांकन करने और प्रतिक्रिया देने के लिए पूरे चार दिन की समय सीमा की अनुमति देगा। फिर यदि निवारण हो तो घटना का उचित खुलासा करने के लिए समय निकालें। इस "पहले उपाय करें" दृष्टिकोण का दूसरा लाभ यह है कि साइबर प्रतिक्रिया पर अधिक जोर दिया जाएगा और कंपनी के सार्वजनिक स्टॉक पर कम प्रभाव पड़ेगा। 8K का उपयोग अभी भी अनसुलझे साइबर सुरक्षा घटनाओं के लिए किया जा सकता है।
निष्कर्ष
इससे कोई फर्क नहीं पड़ता कि आप इस सवाल पर कहां आते हैं कि एसईसी को कार्रवाई करनी चाहिए थी या नहीं, हम साइबर सुरक्षा घटनाओं का खुलासा कैसे, कब और कहां करते हैं, यह सवाल सभी साइबर पेशेवरों के लिए बड़ा होने वाला है। मेरी ओर से, मुझे लगता है कि साइबर सुरक्षा संबंधी घटनाएं सामने आने पर सीआईएसओ को कंपनी के खुलासे को नियंत्रित करना चाहिए या कम से कम उसे मंजूरी देनी चाहिए। इससे भी अधिक, सीआईएसओ को ऐसे प्लेटफार्मों की तलाश करनी चाहिए जो यथासंभव कम से कम निर्भरता के साथ "इसे देखने और इसे हल करने" के लिए ग्लास का एक एकल फलक प्रदान करें। यदि हम एसईसी को पहले उपचारात्मक मानसिकता अपनाने के लिए प्रोत्साहित कर सकते हैं, तो हम सभी के लिए बेहतर साइबर सुरक्षा प्रकटीकरण का द्वार खोल सकते हैं।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/cyberattacks-data-breaches/solarwinds-2024-where-do-cyber-disclosures-go-from-here
