SolarWinds 2024: Where Do Cyber Disclosures Go From Here?

KOMENTAR

Dalam Artikel sebelumnya, Saya membahas apa arti dakwaan SolarWinds dan aturan empat hari dari Komisi Sekuritas dan Bursa (SEC) bagi DevSecOps. Hari ini, mari kita ajukan pertanyaan yang berbeda: Ke mana arah pengungkapan dunia maya setelah ini?

Sebelum saya bergabung dengan industri keamanan siber, saya adalah seorang pengacara sekuritas. Saya menghabiskan banyak waktu untuk mempelajari peraturan SEC dan bekerja dengan SEC secara teratur. Artikel ini bukan nasihat hukum. Ini adalah nasihat praktis dari seseorang yang benar-benar mengenal SEC, meskipun jauh.

Singkatnya, Dakwaan SEC

Pada 30 Oktober 2023, SEC mengajukan keluhan terhadap SolarWinds dan chief information security officer-nya, dengan menuduh “penipuan dan kegagalan pengendalian internal” dan “salah saji, kelalaian, dan skema yang menyembunyikan praktik keamanan siber Perusahaan yang buruk serta risiko keamanan siber yang semakin tinggi – dan semakin meningkat,” termasuk dampak dari tindakan yang sebenarnya serangan terhadap sistem dan pelanggannya.

Mengesampingkan Pertanyaan “Harus”.

Saya ingin mengesampingkan apakah SEC seharusnya mengambil tindakan. Sudah banyak pendapat mengenai topik ini. Beberapa orang berpendapat bahwa pernyataan keamanan siber publik SolarWinds bersifat aspirasional, bukan faktual. Pihak lain berpendapat bahwa CISO tidak boleh menjadi sasaran karena departemennya tidak dapat memberikan pertahanan yang diperlukan. Dia mengandalkan orang lain untuk melakukannya. Terakhir, amicus brief yang diajukan untuk mendukung SolarWinds dan CISO-nya berpendapat bahwa kasus tersebut akan berdampak pada efek mengerikan pada perekrutan dan retensi peran CISO, komunikasi internal, upaya meningkatkan keamanan siber, dan banyak lagi.

Masalah Pengungkapan Cyber

SEC memulai keluhannya dengan menunjukkan bahwa perusahaan tersebut mengajukan pernyataan pendaftaran IPO pada bulan Oktober 2018. Dokumen tersebut memiliki pengungkapan faktor risiko keamanan siber yang bersifat boilerplate dan hipotetis. Pada bulan yang sama, keluhan SEC berbunyi, “Brown menulis dalam presentasi internal bahwa SolarWinds' 'kondisi keamanan saat ini membuat kita berada dalam kondisi yang sangat rentan terhadap aset-aset penting kita. '”

Perbedaan ini sangat besar, dan SEC mengatakan hal ini semakin memburuk. Meskipun karyawan dan eksekutif SolarWinds mengetahui tentang peningkatan risiko, kerentanan, dan serangan terhadap produk SolarWinds dari waktu ke waktu, “Pengungkapan risiko keamanan siber SolarWinds tidak mengungkapkannya dengan cara apa pun.” Untuk mengilustrasikan maksudnya, SEC mencantumkan semua pengajuan publik SEC setelah IPO yang mencakup pengungkapan risiko keamanan siber yang sama, tidak berubah, bersifat hipotetis.

Mengutip keluhan SEC: “Bahkan jika beberapa risiko dan insiden individual yang dibahas dalam Pengaduan ini tidak mencapai tingkat yang memerlukan pengungkapan sendiri… secara kolektif hal-hal tersebut menciptakan peningkatan risiko…” sehingga pengungkapan SolarWinds menjadi “menyesatkan secara material .” Lebih buruk lagi, menurut SEC, SolarWinds mengulangi pengungkapan umum bahkan ketika sejumlah tanda bahaya menumpuk.

Salah satu hal pertama yang Anda pelajari sebagai pengacara sekuritas adalah bahwa pengungkapan, faktor risiko, dan perubahan faktor risiko dalam pengajuan SEC perusahaan sangatlah penting. Mereka digunakan oleh investor dan analis sekuritas dalam mengevaluasi dan merekomendasikan pembelian dan penjualan saham. Saya terkejut ketika membaca salah satu amicus briefs bahwa “CISO biasanya tidak bertanggung jawab untuk menyusun atau menyetujui” pengungkapan publik. Mungkin memang seharusnya begitu.

Mengusulkan Safe Harbor Remediasi

Saya ingin mengusulkan sesuatu yang berbeda: sebuah pelabuhan remediasi yang aman untuk risiko dan insiden keamanan siber. SEC tidak buta terhadap pertanyaan tentang remediasi. Dalam hal ini, dikatakan:

“SolarWinds juga gagal menyelesaikan masalah yang dijelaskan di atas menjelang IPO pada bulan Oktober 2018, dan banyak dari masalah tersebut, selama berbulan-bulan atau bertahun-tahun setelahnya. Dengan demikian, pelaku ancaman kemudian dapat mengeksploitasi kerentanan VPN yang masih belum diperbaiki untuk mengakses sistem internal SolarWinds pada bulan Januari 2019, menghindari deteksi selama hampir dua tahun, dan pada akhirnya memasukkan kode berbahaya yang mengakibatkan serangan siber SUNBURST.”

Dalam proposal saya, jika ada perusahaan yang memperbaiki kekurangan atau serangan dalam jangka waktu empat hari, perusahaan tersebut harus mampu (a) menghindari klaim penipuan (yaitu, tidak ada yang perlu dibicarakan) atau (b) menggunakan standar 10Q dan 10K proses, termasuk bagian Pembahasan dan Analisis Manajemen, untuk mengungkap insiden tersebut. Ini mungkin tidak membantu SolarWinds. Ketika mereka mengungkapkan situasinya, 8K mengatakan bahwa perangkat lunak perusahaan “mengandung kode berbahaya yang telah dimasukkan oleh pelaku ancaman” tanpa referensi untuk perbaikan. Namun, bagi banyak perusahaan publik lainnya yang menghadapi pertarungan tanpa akhir antara pihak penyerang dan pihak yang bertahan, sistem remediasi yang aman akan memberikan mereka waktu empat hari penuh untuk mengevaluasi dan merespons insiden tersebut. Kemudian, jika sudah diperbaiki, luangkan waktu untuk mengungkapkan kejadian tersebut dengan benar. Manfaat lain dari pendekatan “remediate first” ini adalah akan ada penekanan yang lebih besar pada respons dunia maya dan dampak yang lebih kecil terhadap saham publik suatu perusahaan. 8K masih dapat digunakan untuk insiden keamanan siber yang belum terselesaikan.

Kesimpulan

Terlepas dari pendapat Anda mengenai pertanyaan apakah SEC seharusnya bertindak atau tidak, pertanyaan tentang bagaimana, kapan, dan di mana kita mengungkapkan insiden keamanan siber akan menjadi pertanyaan besar bagi semua profesional siber. Bagi saya, CISO harus mengontrol atau, paling tidak, menyetujui pengungkapan perusahaan ketika insiden keamanan siber muncul. Lebih dari itu, CISO harus mencari platform yang menyediakan satu panel kaca untuk “melihat dan menyelesaikannya” dengan cepat, dengan ketergantungan sesedikit mungkin. Jika kita dapat mendorong SEC untuk menerapkan pola pikir yang mengutamakan perbaikan, kita mungkin akan membuka pintu bagi pengungkapan keamanan siber yang lebih baik bagi semua orang.

Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
Sumber: https://www.darkreading.com/cyberattacks-data-breaches/solarwinds-2024-where-do-cyber-disclosures-go-from-here

Kecerdasan Data Generatif

SolarWinds 2024: Kemana Arah Pengungkapan Dunia Maya?

Singkatnya, Dakwaan SEC

Mengesampingkan Pertanyaan “Harus”.

Masalah Pengungkapan Cyber

Mengusulkan Safe Harbor Remediasi

Kesimpulan

FG Berencana Untuk Menerapkan Peraturan Ketat Untuk Bisnis Kripto senilai $57 Miliar Dalam Operasi Penyelamatan Naira – CryptoInfoNet

JBM Healthcare Mengeluarkan Peringatan Laba Positif

Intelijen Terbaru

Laporan: Bitget, Token Asli BGB Berkembang di Q1 2024 | BitPina

Mata Uang Global Baru Dirancang Untuk Menghilangkan Dolar AS, Mencegah Sanksi Muncul Saat Para Pemimpin BRICS Bersiap Untuk Bertemu: Laporan – The Daily Hodl

8 Strategi Perdagangan Penting Untuk Investor Cryptocurrency – CryptoInfoNet

Solana Siap Menjadikan Dirinya Sebagai 'Aset Kripto Utama Ketiga' Setelah Bitcoin dan Ethereum: Franklin Templeton – The Daily Hodl

BDAG Meluncurkan Opsi Pembayaran Kripto, Melalui Aave & Grafik

BlockDAG: Kebocoran Forbes 2024 & Enigma di Balik – Akankah Melonjak? Paparan yang Tidak Disengaja

Hubungi kami