ភាពវៃឆ្លាតទិន្នន័យជំនាន់

សន្តិសុខ​តាម​ប្រព័ន្ធ​អ៊ីនធឺណិត

SolarWinds 2024៖ តើការលាតត្រដាងតាមអ៊ីនធឺណិតមកពីណា?

បោះពុម្ពផ្សាយឡើងវិញដោយផ្លាតូ
បោះពុម្ពផ្សាយឡើងវិញដោយផ្លាតូ

កាលបរិច្ឆេទ:

ទស្សនៈ: 0

បទឧទ្ទេសនាម

នៅក្នុងការ អត្ថបទមុន។ខ្ញុំបានគ្របដណ្តប់នូវអ្វីដែលការចោទប្រកាន់របស់ SolarWinds របស់គណៈកម្មការមូលបត្រ និងការផ្លាស់ប្តូរ (SEC) SolarWinds និងច្បាប់រយៈពេល 4 ថ្ងៃមានន័យសម្រាប់ DevSecOps ។ ថ្ងៃនេះសូមសួរសំណួរមួយទៀត៖ តើការលាតត្រដាងតាមអ៊ីនធឺណិតមកពីណា?

មុនពេលខ្ញុំចូលបម្រើការងារក្នុងវិស័យសន្តិសុខតាមអ៊ីនធឺណិត ខ្ញុំជាមេធាវីផ្នែកសន្តិសុខ។ ខ្ញុំបានចំណាយពេលច្រើនក្នុងការរុករកច្បាប់ SEC និងធ្វើការជាមួយ SEC ជាប្រចាំ។ អត្ថបទនេះមិនមែនជាដំបូន្មានផ្នែកច្បាប់ទេ។ វាជាដំបូន្មានជាក់ស្តែងពីអ្នកដែលមានទំនាក់ទំនងពិតប្រាកដ ទោះបីជាឆ្ងាយ ឬស្គាល់ពី SEC ក៏ដោយ។

ការចោទប្រកាន់របស់ SEC ជាសង្ខេប

នៅថ្ងៃទី 30 ខែតុលាឆ្នាំ 2023 អេ SEC បានដាក់ពាក្យបណ្តឹង ប្រឆាំងនឹង SolarWinds និងប្រធានផ្នែកសន្តិសុខព័ត៌មានរបស់ខ្លួន ដោយគិតថ្លៃ "ការក្លែងបន្លំ និងការបរាជ័យនៃការគ្រប់គ្រងផ្ទៃក្នុង" និង "ការនិយាយខុស ការខកខាន និងគ្រោងការណ៍ដែលលាក់បាំងទាំងការអនុវត្តសុវត្ថិភាពអ៊ីនធឺណិតមិនល្អរបស់ក្រុមហ៊ុន និងការកើនឡើងរបស់វា និងការកើនឡើងនៃហានិភ័យសុវត្ថិភាពអ៊ីនធឺណិត" រួមទាំងផលប៉ះពាល់នៃជាក់ស្តែង។ វាយប្រហារលើប្រព័ន្ធ និងអតិថិជនរបស់ខ្លួន។ 

ដាក់សំណួរ "គួរ" មួយឡែក 

ខ្ញុំចង់ដាក់មួយឡែកថាតើ SEC គួរតែចាត់វិធានការដែរឬទេ។ មានសំឡេងជាច្រើនលើប្រធានបទនេះរួចហើយ។ អ្នកខ្លះប្រកែកថាសេចក្តីថ្លែងការណ៍សុវត្ថិភាពអ៊ីនធឺណិតសាធារណៈរបស់ SolarWinds គឺជាសេចក្តីប្រាថ្នា មិនមែនជាការពិតទេ។ អ្នកផ្សេងទៀតយកតួនាទីដែល CISO មិនគួរត្រូវបានកំណត់គោលដៅទេ ព្រោះនាយកដ្ឋានរបស់គាត់មិនអាចផ្តល់ការការពារដែលត្រូវការ។ គាត់ពឹងផ្អែកលើអ្នកដទៃដើម្បីធ្វើដូច្នេះ។ ជាចុងក្រោយ ឯកសារសង្ខេបរបស់ amicus ដែលបានដាក់ពាក្យគាំទ្រ SolarWinds និង CISO របស់ខ្លួនបានអះអាងថា ករណីនេះនឹងមាន ឥទ្ធិពលត្រជាក់លើការជួល និងការរក្សាតួនាទី CISOការប្រាស្រ័យទាក់ទងផ្ទៃក្នុង កិច្ចខិតខំប្រឹងប្រែងក្នុងការធ្វើអោយប្រសើរឡើងនូវសុវត្ថិភាពតាមអ៊ីនធឺណិត និងច្រើនទៀត។ 

បញ្ហាការលាតត្រដាងតាមអ៊ីនធឺណិត 

SEC បានចាប់ផ្តើមពាក្យបណ្តឹងរបស់ខ្លួនដោយចង្អុលបង្ហាញថាក្រុមហ៊ុនបានដាក់សេចក្តីថ្លែងការណ៍ចុះបញ្ជី IPO របស់ខ្លួននៅក្នុងខែតុលា ឆ្នាំ 2018 ។ ឯកសារនោះមានផ្ទាំងចំហរ និងការបង្ហាញពីកត្តាហានិភ័យសុវត្ថិភាពតាមអ៊ីនធឺណិតតាមទ្រឹស្តី។ នៅខែដដែល ពាក្យបណ្តឹងរបស់ SEC បានសរសេរថា "Brown បានសរសេរនៅក្នុងបទបង្ហាញផ្ទៃក្នុងថា SolarWinds"ស្ថានភាពសន្តិសុខបច្ចុប្បន្នធ្វើឱ្យយើងស្ថិតក្នុងស្ថានភាពងាយរងគ្រោះសម្រាប់ទ្រព្យសម្បត្តិសំខាន់ៗរបស់យើង។។ '”

ភាពខុសគ្នានេះគឺធំមួយ ហើយ SEC បាននិយាយថាវាកាន់តែអាក្រក់ទៅៗ។ ទោះបីជានិយោជិត និងនាយកប្រតិបត្តិ SolarWinds បានដឹងអំពីការកើនឡើងហានិភ័យ ភាពងាយរងគ្រោះ និងការវាយប្រហារប្រឆាំងនឹងផលិតផលរបស់ SolarWinds យូរៗទៅ "ការបង្ហាញហានិភ័យសុវត្ថិភាពតាមអ៊ីនធឺណិតរបស់ SolarWinds មិនបានបង្ហាញពីវាតាមមធ្យោបាយណាមួយឡើយ"។ ដើម្បីបង្ហាញពីចំណុចរបស់វា SEC បានរាយបញ្ជីឯកសារ SEC សាធារណៈទាំងអស់បន្ទាប់ពី IPO ដែលរួមបញ្ចូលដូចគ្នា ដែលមិនផ្លាស់ប្តូរ សម្មតិកម្ម ការបង្ហាញហានិភ័យសុវត្ថិភាពអ៊ីនធឺណិត boilerplate ។ 

ដើម្បីបកស្រាយពាក្យបណ្តឹងរបស់ SEC៖ "ទោះបីជាហានិភ័យ និងឧបទ្ទវហេតុបុគ្គលមួយចំនួនដែលបានពិភាក្សានៅក្នុងពាក្យបណ្តឹងនេះមិនបានកើនឡើងដល់កម្រិតនៃការទាមទារការបង្ហាញដោយខ្លួនឯង ... ពួកគេបានបង្កើតហានិភ័យកើនឡើងបែបនេះ ... " ដែលការបង្ហាញរបស់ SolarWinds បានក្លាយជា "ការបំភាន់សម្ភារៈ។ ” អាក្រក់ជាងនេះទៅទៀត យោងទៅតាម SEC ក្រុមហ៊ុន SolarWinds បានធ្វើការបង្ហាញឡើងវិញនូវការបង្ហាញនូវបន្ទះក្តារទូទៅ បើទោះបីជាចំនួនទង់ក្រហមប្រមូលផ្តុំឡើងក៏ដោយ។ 

រឿងដំបូងដែលអ្នករៀនក្នុងនាមជាមេធាវីមូលបត្រគឺថា ការបង្ហាញ កត្តាហានិភ័យ និងការផ្លាស់ប្តូរកត្តាហានិភ័យនៅក្នុងឯកសារ SEC របស់ក្រុមហ៊ុនគឺមានសារៈសំខាន់ខ្លាំងណាស់។ ពួកគេត្រូវបានប្រើប្រាស់ដោយវិនិយោគិន និងអ្នកវិភាគមូលបត្រក្នុងការវាយតម្លៃ និងណែនាំការទិញ និងលក់ភាគហ៊ុន។ ខ្ញុំមានការភ្ញាក់ផ្អើលដែលបានអាននៅក្នុងអត្ថបទខ្លីមួយរបស់ amicus ថា "CISOs ជាធម្មតាមិនទទួលខុសត្រូវចំពោះការព្រាង ឬអនុម័ត" ការបង្ហាញជាសាធារណៈ។ ប្រហែលជាពួកគេគួរតែជា។ 

សំណើរជួសជុលកំពង់ផែសុវត្ថិភាព 

ខ្ញុំ​ចង់​ស្នើ​អ្វី​មួយ​ផ្សេង​ទៀត៖ កំពង់ផែ​សុវត្ថិភាព​សម្រាប់​ការ​ជួសជុល​សម្រាប់​ហានិភ័យ និង​ឧបទ្ទវហេតុ​សុវត្ថិភាព​អ៊ីនធឺណិត។ SEC មិនបានខ្វាក់ភ្នែកចំពោះសំណួរនៃការជួសជុលនោះទេ។ ក្នុង​ន័យ​នេះ​វា​បាន​និយាយ​ថា​:

"SolarWinds ក៏បរាជ័យក្នុងការដោះស្រាយបញ្ហាដែលបានពិពណ៌នាខាងលើមុន IPO របស់ខ្លួននៅក្នុងខែតុលា 2018 ហើយសម្រាប់ពួកគេជាច្រើនខែ ឬច្រើនឆ្នាំក្រោយមក។ ដូច្នេះ តួអង្គគម្រាមកំហែងអាចទាញយកប្រយោជន៍ពីភាពងាយរងគ្រោះ VPN ដែលមិនអាចដោះស្រាយបាននៅពេលក្រោយ ដើម្បីចូលប្រើប្រព័ន្ធខាងក្នុងរបស់ SolarWinds ក្នុងខែមករា ឆ្នាំ 2019 ជៀសវាងការរកឃើញជិតពីរឆ្នាំ ហើយទីបំផុតបញ្ចូលកូដព្យាបាទដែលបណ្តាលឱ្យមានការវាយលុកតាមអ៊ីនធឺណិតរបស់ SUNBURST ។

នៅក្នុងសំណើររបស់ខ្ញុំ ប្រសិនបើក្រុមហ៊ុនណាមួយបានជួសជុលកង្វះខាត ឬការវាយប្រហារក្នុងរយៈពេលបួនថ្ងៃ វាគួរតែអាច (ក) ជៀសវាងការទាមទារការក្លែងបន្លំ (ឧ. គ្មានអ្វីត្រូវនិយាយអំពី) ឬ (ខ) ប្រើស្តង់ដារ 10Q និង 10K ដំណើរការ រួមទាំងផ្នែកការពិភាក្សា និងការវិភាគនៃការគ្រប់គ្រង ដើម្បីបង្ហាញពីឧប្បត្តិហេតុ។ នេះប្រហែលជាមិនបានជួយ SolarWinds ទេ។ នៅពេលវាលាតត្រដាងពីស្ថានភាព 8K របស់វាបាននិយាយថាកម្មវិធីរបស់ក្រុមហ៊ុន "មានលេខកូដព្យាបាទដែលត្រូវបានបញ្ចូលដោយអ្នកគំរាមកំហែង" ដោយមិនយោងទៅលើការដោះស្រាយណាមួយឡើយ។ យ៉ាងណាក៏ដោយ សម្រាប់ក្រុមហ៊ុនសាធារណៈរាប់មិនអស់ផ្សេងទៀតដែលកំពុងប្រឈមមុខនឹងការប្រយុទ្ធគ្នាមិនចេះចប់ រវាងអ្នកវាយប្រហារ និងអ្នកការពារ កំពង់ផែសុវត្ថិភាពសំណងនឹងអនុញ្ញាតឱ្យពួកគេមានពេលវេលាពេញ 8 ថ្ងៃដើម្បីវាយតម្លៃ និងឆ្លើយតបទៅនឹងឧប្បត្តិហេតុនេះ។ បន្ទាប់មក​បើ​មាន​ការ​ដោះស្រាយ​ត្រូវ​ឆ្លៀត​ពេល​លាតត្រដាង​ហេតុការណ៍​ឱ្យ​បាន​ត្រឹមត្រូវ។ អត្ថប្រយោជន៍ផ្សេងទៀតនៃវិធីសាស្រ្ត "ដោះស្រាយមុនគេ" នេះគឺថានឹងមានការសង្កត់ធ្ងន់បន្ថែមទៀតលើការឆ្លើយតបតាមអ៊ីនធឺណិត និងផលប៉ះពាល់តិចជាងចំពោះភាគហ៊ុនសាធារណៈរបស់ក្រុមហ៊ុន។ XNUMXKs នៅតែអាចប្រើសម្រាប់ឧប្បត្តិហេតុសន្តិសុខតាមអ៊ីនធឺណិតដែលមិនបានដោះស្រាយ។ 

សន្និដ្ឋាន

មិនថាអ្នកចេញមកនៅទីណាទេ លើសំណួរថាតើ SEC គួរតែធ្វើសកម្មភាពឬអត់ សំណួរអំពីរបៀប ពេលណា និងកន្លែងដែលយើងបង្ហាញឧបទ្ទវហេតុសុវត្ថិភាពអ៊ីនធឺណិតនឹងក្លាយជាបញ្ហាធំមួយសម្រាប់អ្នកជំនាញផ្នែកអ៊ីនធឺណិតទាំងអស់។ សម្រាប់ផ្នែករបស់ខ្ញុំ ខ្ញុំគិតថា CISO គួរតែគ្រប់គ្រង ឬយ៉ាងហោចណាស់ យល់ព្រមលើការបង្ហាញរបស់ក្រុមហ៊ុន នៅពេលដែលឧប្បត្តិហេតុសន្តិសុខតាមអ៊ីនធឺណិតកើតឡើង។ ជាងនេះទៅទៀត CISO គួរតែស្វែងរកវេទិកាដែលផ្តល់ផ្ទាំងកញ្ចក់តែមួយដើម្បី "មើលវា និងដោះស្រាយវា" យ៉ាងឆាប់រហ័ស ដោយមានភាពអាស្រ័យតិចបំផុតតាមដែលអាចធ្វើទៅបាន។ ប្រសិនបើយើងអាចលើកទឹកចិត្ត SEC ឱ្យទទួលយកនូវផ្នត់គំនិតដំបូងដែលដោះស្រាយឡើងវិញបាន នោះយើងគ្រាន់តែអាចបើកទ្វារទៅកាន់ការបង្ហាញសុវត្ថិភាពតាមអ៊ីនធឺណិតកាន់តែប្រសើរសម្រាប់មនុស្សគ្រប់គ្នា។ 

spot_img

បញ្ញាចុងក្រោយ

spot_img

រក្សាសិទ្ធិ @ 2024 Plato Technologies Inc.

ជជែកជាមួយយើង

សួស្តី! តើខ្ញុំអាចជួយអ្នកដោយរបៀបណា?