פַּרשָׁנוּת
ב מאמר קודם, כיסיתי את המשמעות של כתבי האישום של SolarWinds וחוק ארבעת הימים של רשות ניירות ערך (SEC) עבור DevSecOps. היום, בואו נשאל שאלה אחרת: לאן מובילות גילויי הסייבר מכאן?
לפני שהצטרפתי לתעשיית אבטחת הסייבר, הייתי עורך דין לניירות ערך. ביליתי זמן רב בניווט בחוקי ה-SEC ועבדתי עם ה-SEC על בסיס קבוע. מאמר זה אינו ייעוץ משפטי. זו עצה מעשית ממישהו עם היכרות אמיתית, אם כי רחוקה, עם ה-SEC.
כתב האישום של SEC בקצרה
ב-30 באוקטובר 2023, SEC הגישה תלונה נגד SolarWinds וקצין אבטחת המידע הראשי שלה, תוך שהוא מחייב "כשלי הונאה ובקרה פנימית" ו"הצהרות מוטעות, השמטות ותכניות שהסתירו הן את נוהלי אבטחת הסייבר הדלים של החברה והן את סיכוני אבטחת הסייבר המוגברים - והגוברים - שלה", כולל ההשפעה של ממשי. התקפה על המערכות והלקוחות שלה.
שמים את שאלת ה"צריך" בצד
אני רוצה לשים בצד אם ה-SEC היה צריך לנקוט בפעולה. יש כבר הרבה קולות בנושא הזה. יש הטוענים שהצהרות אבטחת הסייבר הפומביות של SolarWinds היו שאפתניות, לא עובדתיות. אחרים נוקטים בעמדה שאין למקד את ה-CISO מכיוון שהמחלקה שלו לא יכלה לספק את ההגנות הנדרשות. הוא סמך על אחרים שיעשו זאת. לבסוף, תקצירי האמיקוס שהוגשו לתמיכה ב-SolarWinds וב-CISO שלה טענו כי בתיק יהיה השפעה מצמררת על גיוס ושימור תפקידי CISO, תקשורת פנימית, מאמצים לשיפור אבטחת הסייבר ועוד.
בעיית גילוי הסייבר
ה-SEC החלה את תלונתה בכך שהחברה הגישה את הצהרת רישום ההנפקה שלה באוקטובר 2018. למסמך זה היה מאפיין וחשיפה היפותטית של גורמי סיכון אבטחת סייבר. באותו חודש, נכתב בתלונת ה-SEC, "בראון כתב במצגת פנימית ש-SolarWinds'מצב הביטחון הנוכחי משאיר אותנו במצב פגיע מאוד עבור הנכסים הקריטיים שלנו. '"
הפער הזה הוא גדול, וה-SEC אמר שזה רק החמיר. למרות שעובדי ומנהלי SolarWinds ידעו על הסיכונים, הפגיעויות וההתקפות המתגברות נגד מוצרי SolarWinds לאורך זמן, "גילויי סיכוני אבטחת הסייבר של SolarWinds לא חשפו אותם בשום צורה". כדי להמחיש את טענתה, ה-SEC פירטה את כל ההגשות הפומביות של ה-SEC בעקבות ההנפקה שכללו את אותו חשיפה של סיכוני אבטחת סייבר, ללא שינוי, היפותטי.
לפרפראזה את תלונת ה-SEC: "גם אם חלק מהסיכונים והתקריות הפרטניות שנדונו בתלונה זו לא עלו לרמה של דרישת גילוי בעצמם... ביחד הם יצרו סיכון מוגבר כל כך..." עד שהגילויים של SolarWinds הפכו ל"מטעות מהותית. ." גרוע מכך, על פי ה-SEC, SolarWinds חזרה על הגילויים הגנריים של ה-boilerplate אפילו כאשר מספר מצטבר של דגלים אדומים נערם.
אחד הדברים הראשונים שאתה לומד כעורך דין ניירות ערך הוא שגילויים, גורמי סיכון ושינויים בגורמי סיכון בהגשת ה-SEC של חברה הם חשובים מאוד. הם משמשים משקיעים ואנליסטים בניירות ערך בהערכה והמלצה על רכישות ומכירות של מניות. הופתעתי לקרוא באחד מתקצירי האמיקוס ש"CISOs אינם אחראים בדרך כלל לניסוח או אישור" גילויים פומביים. אולי הם צריכים להיות.
הצעת נמל בטוח לתיקון
אני רוצה להציע משהו אחר: נמל בטוח לתיקון סיכונים ותקריות אבטחת סייבר. ה-SEC לא היה עיוור לשאלת התיקון. בהקשר זה נאמר:
"SolarWinds גם לא הצליחה לתקן את הבעיות שתוארו לעיל לקראת ההנפקה שלה באוקטובר 2018, ולרבים מהן, במשך חודשים או שנים לאחר מכן. לפיכך, שחקני איומים יכלו לנצל מאוחר יותר את פגיעות ה-VPN שעדיין לא תוקנה כדי לגשת למערכות הפנימיות של SolarWinds בינואר 2019, להימנע מזיהוי במשך כמעט שנתיים, ובסופו של דבר להכניס קוד זדוני שהוביל למתקפת הסייבר של SUNBURST.
בהצעה שלי, אם חברה כלשהי תתקן את הליקויים או ההתקפה בתוך מסגרת הזמן של ארבעה ימים, היא אמורה להיות מסוגלת (א) להימנע מתביעת הונאה (כלומר, אין מה לדבר) או (ב) להשתמש ב-10Q ו-10K הסטנדרטיים תהליך, כולל סעיף הדיון והניתוח של ההנהלה, לחשיפת האירוע. אולי זה לא עזר ל-SolarWinds. כאשר היא חשפה את המצב, 8K שלה אמרה כי התוכנה של החברה "הכילה קוד זדוני שהוכנס על ידי גורמי איומים" ללא כל התייחסות לתיקון. ובכל זאת, עבור אינספור חברות ציבוריות אחרות המתמודדות עם הקרב הבלתי נגמר בין התוקף והמגן, נמל בטוח לתיקון יאפשר להן את מסגרת הזמן המלאה של ארבעת הימים כדי להעריך את האירוע ולהגיב אליו. לאחר מכן, אם תוקן, קח את הזמן כדי לחשוף את האירוע כראוי. היתרון הנוסף של גישת "תיקון תחילה" זו הוא שיהיה יותר דגש על תגובת סייבר ופחות השפעה על המניות הציבוריות של החברה. עדיין ניתן להשתמש ב-8Ks לאירועי אבטחת סייבר לא פתורים.
סיכום
לא משנה מאיפה אתה יוצא בשאלה האם ה-SEC היה צריך לפעול או לא, השאלה איך, מתי ואיפה אנחנו חושפים אירועי אבטחת סייבר הולכת להיות שאלה גדולה עבור כל אנשי המקצוע בתחום הסייבר. מצדי, אני חושב שה-CISO צריך לשלוט או, לכל הפחות, לאשר את הגילויים של החברה כאשר מתעוררים תקריות אבטחת סייבר. יותר מזה, ה-CISO צריך לחפש פלטפורמות המספקות חלונית זכוכית אחת כדי "לראות את זה ולפתור את זה" במהירות, עם כמה שפחות תלות. אם נוכל לעודד את ה-SEC לאמץ חשיבה של תיקון-ראשון, אולי נוכל לפתוח את הדלת לחשיפה טובה יותר של אבטחת סייבר לכולם.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cyberattacks-data-breaches/solarwinds-2024-where-do-cyber-disclosures-go-from-here
