KOMMENTAR

I et tidligere artikkel, dekket jeg hva Securities and Exchange Commission (SEC) SolarWinds' tiltale og firedagersregel betyr for DevSecOps. I dag, la oss stille et annet spørsmål: Hvor går cyberavsløringene herfra?

Før jeg begynte i cybersikkerhetsbransjen, var jeg verdipapiradvokat. Jeg brukte mye tid på å navigere i SEC-reglene og jobbet med SEC regelmessig. Denne artikkelen er ikke juridisk rådgivning. Det er praktiske råd fra noen med reell, om enn fjern, kjennskap til SEC.

SEC-tiltalen i et nøtteskall

30. oktober 2023 SEC sendte inn en klage mot SolarWinds og dets sjef for informasjonssikkerhet, anklager «svindel- og internkontrollsvikt» og «feilinformasjon, utelatelser og ordninger som skjulte både selskapets dårlige cybersikkerhetspraksis og dets økte - og økende - cybersikkerhetsrisikoer, inkludert virkningen av en faktisk angrep på sine systemer og kunder. 

Legger "bør"-spørsmålet til side 

Jeg vil legge til side om SEC burde ha tatt affære. Det er mange stemmer om dette emnet allerede. Noen hevder at SolarWinds' offentlige cybersikkerhetsuttalelser var ambisiøse, ikke saklige. Andre mener at CISO ikke bør være målrettet fordi avdelingen hans ikke kunne levere det nødvendige forsvaret. Han stolte på at andre gjorde det. Til slutt argumenterte amicus briefene som ble innlevert til støtte for SolarWinds og dets CISO at saken vil ha en avkjølende effekt på ansettelse og bevaring av CISO-roller, intern kommunikasjon, innsats for å forbedre cybersikkerhet og mer. 

Problemet med cyberavsløring 

SEC innledet klagen med å påpeke at selskapet sendte inn sin IPO-registreringserklæring i oktober 2018. Dette dokumentet hadde en standard og hypotetisk avsløring av cybersikkerhetsrisikofaktorer. Samme måned lyder SECs klage: "Brown skrev i en intern presentasjon at SolarWinds'nåværende sikkerhetstilstand etterlater oss i en svært sårbar tilstand for våre kritiske eiendeler. '”

Dette avviket er stort, og SEC sa at det bare ble verre. Selv om SolarWinds ansatte og ledere visste om de økende risikoene, sårbarhetene og angrepene mot SolarWinds' produkter over tid, "avslørte SolarWinds' cybersikkerhetsrisiko ikke dem på noen måte." For å illustrere poenget sitt, listet SEC opp alle de offentlige SEC-arkiveringene etter børsnoteringen som inkluderte den samme, uendrede, hypotetiske, kjente cybersikkerhetsrisikoen. 

For å parafrasere SECs klage: "Selv om noen av de individuelle risikoene og hendelsene som ble diskutert i denne klagen ikke steg til nivået for å kreve avsløring på egen hånd ... samlet de skapte en så økt risiko ..." at SolarWinds' avsløringer ble "vesentlig villedende ." Enda verre, ifølge SEC, gjentok SolarWinds de generiske kjeleplateavsløringene selv når et akkumulerende antall røde flagg hopet seg opp. 

Noe av det første du lærer som verdipapiradvokat er at avsløringer, risikofaktorer og endringer i risikofaktorer i et selskaps SEC-arkivering er enormt viktig. De brukes av investorer og verdipapiranalytikere til å evaluere og anbefale aksjekjøp og salg. Jeg ble overrasket over å lese i en av amicus briefene at "CISOer er vanligvis ikke ansvarlige for å utarbeide eller godkjenne" offentlige avsløringer. Kanskje de burde være det. 

Foreslå en saneringssikker havn 

Jeg vil foreslå noe annet: en trygg havn for utbedring av cybersikkerhetsrisikoer og hendelser. SEC var ikke blind for spørsmålet om utbedring. I denne forbindelse sa det:

«SolarWinds klarte heller ikke å rette opp problemene beskrevet ovenfor før børsnoteringen i oktober 2018, og for mange av dem, i måneder eller år etterpå. Dermed var trusselaktører i stand til senere å utnytte den fortsatt uopprettede VPN-sårbarheten for å få tilgang til SolarWinds interne systemer i januar 2019, unngå gjenkjenning i nesten to år, og til slutt sette inn ondsinnet kode som resulterte i SUNBURST-cyberangrepet.»

I mitt forslag, hvis et selskap utbedrer manglene eller angrepet innen fire dagers tidsramme, bør det være i stand til å (a) unngå et svindelkrav (dvs. ingenting å snakke om) eller (b) bruke standard 10Q og 10K prosess, inkludert ledelsesdiskusjon og analyseseksjonen, for å avsløre hendelsen. Dette har kanskje ikke hjulpet SolarWinds. Da den avslørte situasjonen, sa 8K at selskapets programvare "inneholdt ondsinnet kode som hadde blitt satt inn av trusselaktører" uten noen henvisning til utbedring. Likevel, for utallige andre offentlige selskaper som står overfor den uendelige kampen mellom angriper og forsvarer, vil en trygg havn for utbedring tillate dem hele fire dagers tidsramme for å evaluere og svare på hendelsen. Ta deg tid til å avsløre hendelsen på riktig måte, hvis den er utbedret. Den andre fordelen med denne "remediate first"-tilnærmingen er at det vil være mer vekt på cyberrespons og mindre innvirkning på et selskaps offentlige aksjer. 8Ks kan fortsatt brukes til uløste cybersikkerhetshendelser. 

konklusjonen

Uansett hvor du kommer ut på spørsmålet om SEC burde ha handlet eller ikke, vil spørsmålet om hvordan, når og hvor vi avslører cybersikkerhetshendelser være et stort spørsmål for alle cyberprofesjonelle. For min del mener jeg at CISO bør kontrollere eller i det minste godkjenne selskapets avsløringer når cybersikkerhetshendelser oppstår. Mer enn det bør CISO se etter plattformer som gir en enkelt glassrute for å "se det og løse det" raskt, med minst mulig avhengighet. Hvis vi kan oppmuntre SEC til å omfavne en remediation-first-tankegang, kan vi bare åpne døren til bedre avsløring av nettsikkerhet for alle. 

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/cyberattacks-data-breaches/solarwinds-2024-where-do-cyber-disclosures-go-from-here