生成的データ インテリジェンス

サイバーセキュリティ

SolarWinds 2024: サイバー情報開示は今後どこへ向かうのか?

プラトンによって再発行
プラトンによって再発行

日付:

閲覧数: 0

解説

で 以前の記事, 証券取引委員会(SEC)のSolarWinds社の起訴と4日間ルールがDevSecOpsにとって何を意味するのかについて取り上げました。今日は、別の質問をしてみましょう。サイバー情報開示は今後どこへ向かうのでしょうか?

サイバーセキュリティ業界に参入する前は、証券弁護士をしていました。私は SEC 規則を理解するのに多くの時間を費やし、定期的に SEC と協力しました。この記事は法的なアドバイスではありません。これは、たとえ遠く離れていても、実際に SEC に精通している人物からの実践的なアドバイスです。

SEC の起訴の概要

30年2023月XNUMX日、 SECが告訴状を提出 ソーラーウィンズとその最高情報セキュリティ責任者を告発し、「詐欺と内部管理の欠陥」と「当社の貧弱なサイバーセキュリティ慣行とその高まり、増大するサイバーセキュリティリスクの両方を隠蔽した虚偽記載、脱漏、計画」を告発しており、これには実際のサイバーセキュリティの影響も含まれる。システムや顧客に対する攻撃。 

「すべき」という質問を脇に置く 

SECが行動を起こすべきだったかどうかは脇に置きたい。この話題に関してはすでに多くの声が上がっています。 SolarWinds のサイバーセキュリティに関する公的声明は願望に基づくものであり、事実に基づくものではないと主張する人もいます。また、CISO 部門が必要な防御を提供できないため、CISO は標的にされるべきではないという立場をとる人もいます。彼はそうするために他の人に頼っていました。最後に、SolarWinds とその CISO を支援するために提出された法廷準備書面では、この訴訟には次のような問題が生じるだろうと主張した。 CISO の役割の採用と維持に対する萎縮効果、内部コミュニケーション、サイバーセキュリティ向上への取り組みなど。 

サイバー情報開示問題 

SECは告訴の冒頭で、同社が2018年XNUMX月にIPO登録届出書を提出したことを指摘した。その文書には定型文と仮想のサイバーセキュリティリスク要因の開示が含まれていた。同月、SECの訴状には「ブラウン氏は社内プレゼンテーションで、ソーラーウィンズ社の『現在のセキュリティ状況により、私たちは重要な資産に対して非常に脆弱な状態に置かれています。 '」

この矛盾は大きく、SECは事態は悪化するばかりだと述べた。 SolarWinds の従業員と幹部は、SolarWinds 製品に対するリスク、脆弱性、攻撃が時間の経過とともに増大することを知っていたにもかかわらず、「SolarWinds のサイバーセキュリティ リスクの開示では、それらをまったく開示していませんでした。」その要点を説明するために、SEC は、同じ、変更されていない、仮説上の定型的なサイバーセキュリティ リスク開示を含む、IPO 後に公開されたすべての SEC 提出書類をリストしました。 

SEC の訴状を言い換えると、「たとえこの訴状で議論された個々のリスクや事件の一部が、それ自体では開示を必要とするレベルに達しなかったとしても…それらが集合的に非常に増大したリスクを生み出した…」ため、SolarWinds の開示は「重大な誤解を招くもの」となった。 」さらに悪いことに、SEC によれば、ソーラーウィンズ社は、危険信号が積み重なっているにもかかわらず、一般的な定型的な開示を繰り返したという。 

証券弁護士として最初に学ぶことの 1 つは、企業の SEC 提出書類における開示、リスク要因、およびリスク要因の変更が非常に重要であるということです。これらは、投資家や証券アナリストが株式の購入や売却を評価および推奨する際に使用します。法廷準備書面の 1 つで、「CISO は通常、公開情報の起草や承認に責任を負わない」と書かれているのを読んで驚きました。おそらくそうあるべきでしょう。 

修復セーフハーバーの提案 

私は別のことを提案したいと思います。それは、サイバーセキュリティのリスクとインシデントに対する救済策のセーフハーバーです。 SECは是正の問題を無視していたわけではない。これに関して、同紙は次のように述べた。

「SolarWinds は、2018 年 2019 月の IPO に先立って上記の問題を修正できず、その後もその多くは数カ月または数年にわたって修正されませんでした。したがって、攻撃者はその後、まだ修正されていない VPN の脆弱性を悪用して、XNUMX 年 XNUMX 月に SolarWinds の内部システムにアクセスし、ほぼ XNUMX 年間検出を回避し、最終的には悪意のあるコードを挿入して SUNBURST サイバー攻撃を引き起こすことができました。」

私の提案では、企業が 10 日間の期限内に欠陥や攻撃を修復した場合、(a) 詐欺の申し立てを回避する (つまり、話す必要がない)、または (b) 標準の 10Q および 8K を使用できるはずです。経営陣の議論と分析セクションを含む、インシデントを開示するためのプロセス。これは SolarWinds の助けにはならなかったかもしれません。 8Kは状況を明らかにした際、同社のソフトウェアには「脅威アクターによって挿入された悪意のあるコードが含まれている」と述べ、修復については言及しなかった。それでも、攻撃側と防御側の間の終わりのない戦いに直面している他の無数の上場企業にとって、修復のセーフハーバーがあれば、XNUMX 日間丸々の期間をかけてインシデントを評価し、対応することが可能になります。その後、是正された場合は、時間をかけてインシデントを適切に開示します。この「修復優先」アプローチのもう XNUMX つの利点は、サイバー対応がより重視され、企業の公開株式への影響が少なくなることです。 XNUMXK は未解決のサイバーセキュリティ インシデントに引き続き使用される可能性があります。 

まとめ

SEC が行動すべきだったのかどうかという問題がどこで出ても、サイバーセキュリティ インシデントをいつ、どこでどのように開示するかという問題は、すべてのサイバー専門家にとって大きな問題となるでしょう。私としては、サイバーセキュリティインシデントが発生した場合、CISO は企業の開示を管理するか、少なくとも承認する必要があると考えています。それ以上に、CISO は依存関係をできる限り最小限に抑え、迅速に「確認して解決する」ための単一画面を提供するプラットフォームを探す必要があります。 SEC に救済第一の考え方を採用するよう奨励できれば、すべての人にとってより適切なサイバーセキュリティ開示への扉が開かれる可能性があります。 

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.

私たちとチャット

やあ! どんな御用でしょうか?