KOMMENTÁR

Egy korábbi cikkben, kitértem arra, hogy mit jelent a Securities and Exchange Commission (SEC) SolarWinds vádirata és a négynapos szabály a DevSecOps számára. Ma tegyünk fel egy másik kérdést: Hová vezetnek innen a kiberinformációk?

Mielőtt a kiberbiztonsági ágazathoz csatlakoztam volna, értékpapír-jogász voltam. Sok időt töltöttem a SEC-szabályok navigálásával, és rendszeresen dolgoztam a SEC-vel. Ez a cikk nem jogi tanács. Ez egy olyan gyakorlati tanács, aki valóban, bár távolról ismeri a SEC-et.

A SEC vádirata dióhéjban

30. október 2023-én a A SEC feljelentést tett a SolarWinds és információbiztonsági igazgatója ellen, „csalás és belső ellenőrzési hibák” és „téves állítások, kihagyások és sémák” vádjával, amelyek elrejtették a Vállalat rossz kiberbiztonsági gyakorlatát és megnövekedett – és egyre növekvő – kiberbiztonsági kockázatait, beleértve egy tényleges megtámadja rendszereit és ügyfeleit. 

Félretéve a „kell” kérdést 

Azt szeretném félretenni, hogy a SEC-nek kellett volna-e intézkednie. Sok hang van már ebben a témában. Egyesek azzal érvelnek, hogy a SolarWinds nyilvános kiberbiztonsági nyilatkozatai törekvések voltak, nem pedig tényszerűek. Mások azt az álláspontot képviselik, hogy a CISO-t nem szabad megcélozni, mert az osztálya nem tudta biztosítani a szükséges védelmet. Ebben másokra támaszkodott. Végül a SolarWinds és a CISO támogatására benyújtott amicus tájékoztatók azzal érveltek, hogy az ügynek lesz dermesztő hatása a CISO-szerepek felvételére és megtartására, belső kommunikáció, a kiberbiztonság javítására tett erőfeszítések stb. 

A kiberközlési probléma 

A SEC azzal kezdte a panaszát, hogy rámutatott, hogy a vállalat 2018 októberében nyújtotta be az IPO regisztrációs nyilatkozatát. Ez a dokumentum tartalmazott egy mintát és feltételezett kiberbiztonsági kockázati tényezőt. Ugyanebben a hónapban a SEC panasza így szól: „Brown egy belső prezentációjában azt írta, hogy a SolarWinds”A jelenlegi biztonsági állapot nagyon sérülékeny állapotba tesz bennünket kritikus eszközeink szempontjából. ”

Ez az eltérés nagy, és a SEC szerint ez csak rosszabb lett. Annak ellenére, hogy a SolarWinds alkalmazottai és vezetői tudtak a SolarWinds termékei elleni növekvő kockázatokról, sebezhetőségekről és támadásokról az idő múlásával, „a SolarWinds kiberbiztonsági kockázati nyilatkozatai ezeket semmilyen módon nem fedték fel.” Ennek szemléltetésére a SEC felsorolta az összes nyilvános SEC-bejelentést az IPO-t követően, amelyek ugyanazt, változatlan, hipotetikus, általános kiberbiztonsági kockázati közzétételt tartalmazták. 

A SEC panaszát átfogalmazva: „Még ha a jelen Panaszban tárgyalt egyes kockázatok és incidensek nem is emelkedtek arra a szintre, hogy önmagukban nyilvánosságra hozatalt követeljenek meg… együttesen olyan megnövekedett kockázatot okoztak…”, hogy a SolarWinds közzétételei „lényegében félrevezetővé váltak” .” Ami még ennél is rosszabb, a SEC szerint a SolarWinds megismételte az általános tájékoztatót, még akkor is, amikor a vörös zászlók halmozódtak fel. 

Az egyik első dolog, amit értékpapír-jogászként megtanulhat, hogy a nyilvánosságra hozatal, a kockázati tényezők és a kockázati tényezők változása a vállalat SEC-bejelentéseiben rendkívül fontos. A befektetők és az értékpapír-elemzők használják őket részvényvásárlások és -eladások értékelésére és ajánlására. Meglepődve olvastam az egyik amicus-tájékoztatóban, hogy „a CISO-k jellemzően nem felelősek a nyilvános közzétételek megalkotásáért vagy jóváhagyásáért”. Talán annak kellene lenniük. 

A kármentesítési biztonságos kikötő javaslata 

Valami mást szeretnék javasolni: a kiberbiztonsági kockázatok és incidensek helyreállításának biztonságos kikötőjét. A SEC nem volt vak a helyreállítás kérdésében. Ezzel kapcsolatban így szólt:

„A SolarWinds nem tudta orvosolni a fent leírt problémákat a 2018 októberi IPO előtt, és sokuk esetében hónapokig vagy évekig azt követően. Így a fenyegetés szereplői később kihasználhatták a továbbra is orvosolatlan VPN-sebezhetőséget, hogy 2019 januárjában hozzáférjenek a SolarWinds belső rendszereihez, közel két évig elkerüljék az észlelést, és végül olyan rosszindulatú kódot helyezzenek be, amely a SUNBURST kibertámadást eredményezte.”

Javaslatom szerint, ha bármely cég a négynapos határidőn belül orvosolja a hiányosságokat vagy támad, akkor képesnek kell lennie (a) elkerülni a csalási keresetet (azaz nincs miről beszélni), vagy (b) a szabványos 10Q és 10K használatát. folyamatot, beleértve a Vezetői megbeszélés és elemzés szakaszt is, hogy felfedje az incidenst. Lehet, hogy ez nem segített a SolarWindsnek. Amikor nyilvánosságra hozta a helyzetet, a 8K azt mondta, hogy a vállalat szoftvere „rosszindulatú kódot tartalmazott, amelyet fenyegető szereplők illesztettek be”, anélkül, hogy utaltak volna a helyreállításra. Ennek ellenére számtalan más állami vállalat számára, amelyek a támadó és a védő közötti véget nem érő csatával néznek szembe, a helyreállítási biztonságos kikötő lehetővé tenné számukra a teljes négynapos határidőt az incidens értékelésére és reagálására. Ezután, ha orvosolják, szánjon időt az incidens megfelelő feltárására. A másik előnye ennek az „először orvosolni” megközelítésnek, hogy nagyobb hangsúlyt kap a kiberreagálás, és kisebb lesz a hatás a vállalat nyilvános részvényeire. A 8K-k továbbra is használhatók megoldatlan kiberbiztonsági incidensekre. 

Következtetés

Nem számít, hol jön ki a kérdés, hogy a SEC-nek cselekednie kellett-e vagy sem, az a kérdés, hogy hogyan, mikor és hol tesszük közzé a kiberbiztonsági incidenseket, minden kiberszakember számára nagy kérdés lesz. A magam részéről úgy gondolom, hogy a CISO-nak ellenőriznie kell, vagy legalábbis jóvá kell hagynia a vállalat közzétételeit, ha kiberbiztonsági incidensek merülnek fel. Sőt, a CISO-nak olyan platformokat kell keresnie, amelyek egyetlen üvegtáblát biztosítanak, hogy gyorsan, a lehető legkevesebb függőséggel „láthassa és megoldhassa”. Ha arra tudjuk ösztönözni a SEC-et, hogy az orvosláson alapuló gondolkodásmódot alkalmazza, akkor mindenki számára megnyithatjuk az ajtót a jobb kiberbiztonsági közzététel előtt. 

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/cyberattacks-data-breaches/solarwinds-2024-where-do-cyber-disclosures-go-from-here