해설
에서 이전 기사, 저는 증권거래위원회(SEC) SolarWinds의 기소와 4일 규칙이 DevSecOps에 미치는 영향을 다루었습니다. 오늘은 다른 질문을 해보겠습니다. 사이버 공개는 여기서 어디로 가는 걸까요?
사이버보안 업계에 합류하기 전에는 증권 전문 변호사였습니다. 저는 SEC 규칙을 탐색하는 데 많은 시간을 보냈고 정기적으로 SEC와 협력했습니다. 이 글은 법적 조언이 아닙니다. 비록 거리가 멀기는 하지만 실제로 SEC에 대해 잘 알고 있는 사람의 실용적인 조언입니다.
간단히 말해서 SEC 기소
30년 2023월 XNUMX일, SEC가 불만을 제기했습니다. SolarWinds 및 최고 정보 보안 책임자(CIO)를 상대로 "사기 및 내부 통제 실패"와 "회사의 열악한 사이버 보안 관행과 고조되고 증가하는 사이버 보안 위험을 은폐하는 허위 진술, 누락 및 계획"을 기소합니다. 시스템과 고객을 공격합니다.
"해야 한다"는 질문은 제쳐두고
SEC가 조치를 취했어야 했는지 여부는 제쳐두고 싶습니다. 이 주제에 대해서는 이미 많은 목소리가 있습니다. 일부에서는 SolarWinds의 공개 사이버 보안 성명이 사실이 아니라 열망적이었다고 주장합니다. 다른 사람들은 CISO의 부서가 필요한 방어 수단을 제공하지 못했기 때문에 CISO의 표적이 되어서는 안 된다는 입장을 취합니다. 그는 그렇게 하기 위해 다른 사람들에게 의지했습니다. 마지막으로 SolarWinds와 CISO를 지원하기 위해 제출된 아미쿠스 브리핑에서는 이 사건에 대한 결론이 나올 것이라고 주장했습니다. CISO 역할 채용 및 유지에 대한 냉각 효과, 내부 커뮤니케이션, 사이버 보안 개선 노력 등
사이버 공개 문제
SEC는 회사가 2018년 XNUMX월에 IPO 등록 명세서를 제출했다는 점을 지적하면서 고소를 시작했습니다. 해당 문서에는 상용구와 가상의 사이버 보안 위험 요소 공개가 포함되어 있었습니다. 같은 달 SEC는 “브라운이 내부 프레젠테이션에서 SolarWinds의 ''현재의 보안 상태로 인해 중요한 자산이 매우 취약한 상태가 되었습니다.. '”
이러한 불일치는 큰 문제이며 SEC는 이 불일치가 더욱 악화될 뿐이라고 말했습니다. SolarWinds 직원과 경영진은 시간이 지남에 따라 SolarWinds 제품에 대한 위험, 취약성 및 공격이 증가하고 있음을 알고 있었지만 "SolarWinds의 사이버 보안 위험 공개에서는 어떤 식으로든 이를 공개하지 않았습니다." 요점을 설명하기 위해 SEC는 IPO 이후 동일하고 변경되지 않은 가상의 상용구 사이버 보안 위험 공개를 포함하는 모든 공개 SEC 서류를 나열했습니다.
SEC의 불만 사항을 달리 표현하면 다음과 같습니다. "이 불만 사항에서 논의된 개별 위험 및 사건 중 일부가 자체적으로 공개를 요구하는 수준까지 올라가지 않았더라도... 집합적으로 위험이 증가했습니다..." SolarWinds의 공개가 "상당히 오해의 소지가 있게 되었습니다." .” 더 나쁜 것은 SEC에 따르면 SolarWinds는 누적된 위험 신호가 쌓여 있음에도 불구하고 일반적인 상용구 공개를 반복했다는 것입니다.
증권 변호사로서 가장 먼저 배우는 것 중 하나는 회사의 SEC 서류에 있는 공개, 위험 요소 및 위험 요소 변경이 매우 중요하다는 것입니다. 이는 투자자와 증권 분석가가 주식 구매 및 판매를 평가하고 추천하는 데 사용됩니다. 나는 "CISO는 일반적으로 공개 초안 작성이나 승인에 대한 책임이 없습니다"라는 아미쿠스 브리핑 중 하나를 읽고 놀랐습니다. 아마도 그래야 할 것입니다.
교정 안전항 제안
저는 뭔가 다른 것을 제안하고 싶습니다. 즉, 사이버 보안 위험과 사고에 대한 교정 안전 항구를 제안하고 싶습니다. SEC는 교정 문제에 대해 무지한 것이 아니었습니다. 이와 관련하여 다음과 같이 말했습니다.
“SolarWinds는 2018년 2019월 IPO를 앞두고 위에 설명된 문제를 해결하지 못했고 그 중 상당수는 그 후 몇 달 또는 몇 년 동안 해결하지 못했습니다. 따라서 위협 행위자들은 나중에 아직 해결되지 않은 VPN 취약점을 악용하여 XNUMX년 XNUMX월 SolarWinds의 내부 시스템에 액세스하고 거의 XNUMX년 동안 탐지를 피한 후 궁극적으로 악성 코드를 삽입하여 SUNBURST 사이버 공격을 일으킬 수 있었습니다.”
내 제안에서 어떤 회사가 10일 이내에 결함이나 공격을 시정한다면 (a) 사기 주장(즉, 이야기할 내용 없음)을 피하거나 (b) 표준 10Q 및 8K를 사용할 수 있어야 합니다. 경영 논의 및 분석 섹션을 포함한 프로세스를 통해 사건을 공개합니다. 이것은 SolarWinds에 도움이 되지 않았을 수도 있습니다. 상황을 공개했을 때 8K는 회사의 소프트웨어에 치료에 대한 언급 없이 "위협 행위자가 삽입한 악성 코드가 포함되어 있다"고 밝혔습니다. 그럼에도 불구하고 공격자와 방어자 사이의 끝없는 싸움에 직면한 수많은 다른 공기업의 경우, 문제 해결 안전 항구를 통해 사건을 평가하고 대응하는 데 XNUMX일의 시간이 충분할 것입니다. 그런 다음 문제가 해결되면 시간을 내어 사건을 적절하게 공개하세요. 이러한 "개선 우선" 접근 방식의 또 다른 이점은 사이버 대응이 더 강조되고 회사의 공개 주식에 미치는 영향이 줄어든다는 것입니다. XNUMXK는 해결되지 않은 사이버 보안 사고에 여전히 사용될 수 있습니다.
결론
SEC가 조치를 취했어야 했는지 여부에 대한 질문에 대해 어디에서 나오든, 사이버 보안 사고를 언제, 어디서, 어떻게 공개하는지에 대한 질문은 모든 사이버 전문가에게 큰 문제가 될 것입니다. 내 입장에서는 CISO가 사이버 보안 사고가 발생할 때 회사의 공개를 통제하거나 최소한 승인해야 한다고 생각합니다. 그보다 CISO는 가능한 한 최소한의 종속성으로 신속하게 "보고 해결"할 수 있는 단일 창을 제공하는 플랫폼을 찾아야 합니다. SEC가 문제 해결 우선 사고방식을 수용하도록 장려할 수 있다면 모든 사람에게 더 나은 사이버 보안 공개의 문을 열 수 있을 것입니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/cyberattacks-data-breaches/solarwinds-2024-where-do-cyber-disclosures-go-from-here
