SolarWinds 2024: Where Do Cyber Disclosures Go From Here?

COMMENTAAR

In een eerder artikel, Ik heb besproken wat de aanklachten en de vierdagenregel van de Securities and Exchange Commission (SEC) SolarWinds voor DevSecOps betekenen. Laten we vandaag een andere vraag stellen: waar gaan de cyberonthullingen verder?

Voordat ik bij de cybersecurity-industrie kwam, was ik effectenadvocaat. Ik heb veel tijd besteed aan het navigeren door de SEC-regels en heb regelmatig met de SEC samengewerkt. Dit artikel is geen juridisch advies. Het is praktisch advies van iemand met echte, zij het verre, bekendheid met de SEC.

De SEC-aanklacht in een notendop

Op 30 oktober 2023 is de SEC heeft een klacht ingediend tegen SolarWinds en haar Chief Information Security Officer, waarbij ze “fraude en fouten in de interne controle” en “onjuiste verklaringen, weglatingen en plannen die zowel de slechte cyberveiligheidspraktijken van het bedrijf als de verhoogde – en toenemende – cyberveiligheidsrisico’s verborgen hielden”, inclusief de impact van een feitelijke aanval op haar systemen en klanten.

De ‘zou moeten’-vraag terzijde schuiven

Ik wil terzijde schuiven of de SEC actie had moeten ondernemen. Er zijn al veel stemmen over dit onderwerp. Sommigen beweren dat de openbare cyberveiligheidsverklaringen van SolarWinds ambitieus waren en niet feitelijk. Anderen zijn van mening dat de CISO niet het doelwit moet zijn omdat zijn afdeling niet de vereiste verdedigingsmechanismen kan bieden. Hij vertrouwde daarvoor op anderen. Ten slotte betoogden de amicusbriefs ter ondersteuning van SolarWinds en haar CISO dat de zaak een een huiveringwekkend effect op het aannemen en behouden van CISO-functies, interne communicatie, inspanningen om de cyberbeveiliging te verbeteren, en meer.

Het cyber-onthullingsprobleem

De SEC begon zijn klacht door erop te wijzen dat het bedrijf in oktober 2018 zijn IPO-registratieverklaring had ingediend. Dat document bevatte een standaard en hypothetische openbaarmaking van de risicofactoren voor cyberbeveiliging. Dezelfde maand luidt de klacht van de SEC: “Brown schreef in een interne presentatie dat SolarWinds ‘De huidige veiligheidstoestand brengt ons in een zeer kwetsbare toestand voor onze kritieke bezittingen. ''

Deze discrepantie is groot en volgens de SEC is deze alleen maar erger geworden. Hoewel werknemers en leidinggevenden van SolarWinds op de hoogte waren van de toenemende risico's, kwetsbaarheden en aanvallen op de producten van SolarWinds in de loop van de tijd, " maakten de openbaarmakingen van de cyberbeveiligingsrisico's van SolarWinds deze op geen enkele manier openbaar." Om dit punt te illustreren, heeft de SEC alle openbare documenten van de SEC na de beursintroductie op een rij gezet, waarin dezelfde, ongewijzigde, hypothetische, standaard openbaarmaking van cyberbeveiligingsrisico's was opgenomen.

Om de klacht van de SEC te parafraseren: “Zelfs als sommige van de individuele risico’s en incidenten die in deze klacht worden besproken niet het niveau bereikten dat op zichzelf openbaarmaking vereist was … collectief creëerden ze zo’n verhoogd risico …” dat de onthullingen van SolarWinds “materieel misleidend” werden. .” Erger nog, volgens de SEC herhaalde SolarWinds de generieke onthullingen, zelfs toen een groeiend aantal alarmsignalen zich opstapelden.

Een van de eerste dingen die u als effectenadvocaat leert, is dat openbaarmakingen, risicofactoren en wijzigingen in risicofactoren in de SEC-registraties van een bedrijf enorm belangrijk zijn. Ze worden door beleggers en effectenanalisten gebruikt bij het evalueren en aanbevelen van aandelenaankopen en -verkopen. Ik was verrast toen ik in een van de amicusbriefjes las dat “CISO’s doorgaans niet verantwoordelijk zijn voor het opstellen of goedkeuren” van publieke onthullingen. Misschien zouden ze dat wel moeten zijn.

Voorstellen van een veilige haven voor herstel

Ik wil iets anders voorstellen: een veilige haven voor herstel van cybersecurityrisico's en -incidenten. De SEC was niet blind voor de kwestie van herstel. In dit verband zei het:

“SolarWinds slaagde er ook niet in de hierboven beschreven problemen op te lossen voorafgaand aan de beursintroductie in oktober 2018, en voor velen van hen maanden of jaren daarna. Zo konden bedreigingsactoren later de nog steeds niet verholpen VPN-kwetsbaarheid misbruiken om toegang te krijgen tot de interne systemen van SolarWinds in januari 2019, detectie bijna twee jaar lang vermijden en uiteindelijk kwaadaardige code invoegen die resulteerde in de SUNBURST-cyberaanval.”

In mijn voorstel zou een bedrijf, als het de tekortkomingen of een aanval binnen het tijdsbestek van vier dagen herstelt, in staat moeten zijn (a) een fraudeclaim te vermijden (dat wil zeggen, niets om over te praten) of (b) de standaard 10Q en 10K te gebruiken. proces, inclusief de sectie Managementdiscussie en -analyse, om het incident openbaar te maken. Dit heeft SolarWinds misschien niet geholpen. Toen het de situatie bekendmaakte, zei 8K dat de software van het bedrijf “kwaadaardige code bevatte die door bedreigingsactoren was ingevoegd” zonder enige verwijzing naar herstel. Toch zou een veilige haven voor herstel voor talloze andere overheidsbedrijven die te maken hebben met de eindeloze strijd tussen aanvaller en verdediger hen de volledige vier dagen de tijd geven om het incident te evalueren en erop te reageren. Neem vervolgens, indien verholpen, de tijd om het incident op de juiste manier bekend te maken. Het andere voordeel van deze ‘eerst herstellen’-aanpak is dat er meer nadruk zal komen te liggen op cyberrespons en minder impact op de publieke aandelen van een bedrijf. 8K's kunnen nog steeds worden gebruikt voor onopgeloste cyberveiligheidsincidenten.

Conclusie

Waar je ook uitkomt met de vraag of de SEC had moeten optreden of niet, de vraag hoe, wanneer en waar we cyberveiligheidsincidenten openbaar maken, zal een grote vraag zijn voor alle cyberprofessionals. Wat mij betreft denk ik dat de CISO de openbaarmakingen van het bedrijf moet controleren of op zijn minst moet goedkeuren wanneer zich cyberveiligheidsincidenten voordoen. Meer nog, de CISO moet op zoek gaan naar platforms die één enkel overzicht bieden om het snel te ‘zien en op te lossen’, met zo min mogelijk afhankelijkheden. Als we de SEC kunnen aanmoedigen om een ‘remediate first’-mentaliteit te omarmen, zouden we misschien wel de deur kunnen openen naar een betere openbaarmaking van cyberbeveiliging voor iedereen.

Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
Bron: https://www.darkreading.com/cyberattacks-data-breaches/solarwinds-2024-where-do-cyber-disclosures-go-from-here

Generatieve data-intelligentie

SolarWinds 2024: waar gaan cyberonthullingen verder?

De SEC-aanklacht in een notendop

De ‘zou moeten’-vraag terzijde schuiven

Het cyber-onthullingsprobleem

Voorstellen van een veilige haven voor herstel

Conclusie

FG is van plan om strikte regelgeving te implementeren voor $ 57 miljard cryptobedrijven in operatie Rescue Naira – CryptoInfoNet

JBM Healthcare geeft positief winstwaarschuwing af

Laatste intelligentie

Rapport: Bitget, Native Token BGB floreert in Q1 2024 | BitPinas

Nieuwe mondiale munt ontworpen om de Amerikaanse dollar af te schaffen en sancties te voorkomen nu BRICS-leiders zich voorbereiden op een ontmoeting: rapport – The Daily Hodl

8 essentiële handelsstrategieën voor investeerders in cryptocurrency – CryptoInfoNet

Solana klaar om zichzelf te vestigen als ‘derde grote crypto-activa’ na Bitcoin en Ethereum: Franklin Templeton – The Daily Hodl

BDAG onthult crypto-betalingsopties, via Aave & The Graph

BlockDAG: Forbes-lek uit 2024 en het raadsel erachter – zal het toenemen? Accidentele blootstelling

Chat met ons