KOMENTARZ
W wcześniej artykuł, opisałem, co oskarżenia Komisji Papierów Wartościowych i Giełd (SEC) SolarWinds oraz czterodniowa zasada oznaczają dla DevSecOps. Zadajmy sobie dziś inne pytanie: dokąd idą ujawnienia w cyberprzestrzeni?
Zanim dołączyłem do branży cyberbezpieczeństwa, byłem prawnikiem zajmującym się papierami wartościowymi. Spędziłem dużo czasu na zapoznawaniu się z przepisami SEC i regularnie współpracowałem z SEC. Ten artykuł nie jest poradą prawną. To praktyczna rada od kogoś, kto ma prawdziwą, choć odległą znajomość SEC.
Akt oskarżenia SEC w pigułce
30 października 2023 r SEC złożył skargę przeciwko SolarWinds i jej dyrektorowi ds. bezpieczeństwa informacji, zarzucając „oszustwa i błędy kontroli wewnętrznej” oraz „nieprawdziwości, zaniechania i schematy, które ukrywały zarówno złe praktyki Spółki w zakresie cyberbezpieczeństwa, jak i zwiększone – i rosnące – ryzyko cyberbezpieczeństwa”, w tym wpływ rzeczywistego atak na swoje systemy i klientów.
Odkładając na bok pytanie „powinienem”.
Chcę odłożyć na bok kwestię, czy SEC powinna była podjąć działania. Jest już wiele głosów w tym temacie. Niektórzy twierdzą, że publiczne oświadczenia SolarWinds dotyczące cyberbezpieczeństwa miały charakter aspiracyjny, a nie oparte na faktach. Inni stoją na stanowisku, że nie należy atakować CISO, ponieważ jego wydział nie był w stanie zapewnić wymaganej obrony. W tej kwestii zdawał się na innych. Wreszcie w opiniach amicus złożonych na poparcie spółki SolarWinds i jej CISO argumentowano, że sprawa będzie miała efekt mrożący na zatrudnianie i utrzymanie stanowisk CISO, komunikacja wewnętrzna, wysiłki na rzecz poprawy cyberbezpieczeństwa i nie tylko.
Problem cyberujawniania
SEC rozpoczęła swoją skargę od wskazania, że spółka złożyła oświadczenie o rejestracji na giełdzie w październiku 2018 r. Dokument ten zawierał szablon i hipotetyczne ujawnienie czynników ryzyka cyberbezpieczeństwa. W tym samym miesiącu w skardze SEC czytamy: „Brown napisał w wewnętrznej prezentacji, że SolarWinds”obecny stan bezpieczeństwa stawia nas w bardzo bezbronnym stanie dla naszych kluczowych aktywów. ””
Ta rozbieżność jest duża, a SEC stwierdziła, że tylko się pogorszyła. Mimo że pracownicy i kadra kierownicza SolarWinds wiedzieli o rosnących z biegiem czasu zagrożeniach, lukach w zabezpieczeniach i atakach na produkty SolarWinds, „ujawnienia zagrożeń cyberbezpieczeństwa przez firmę SolarWinds w żaden sposób ich nie ujawniały”. Aby zilustrować swój punkt widzenia, SEC wymieniła wszystkie publiczne zgłoszenia SEC złożone po pierwszej ofercie publicznej, które zawierały to samo, niezmienione, hipotetyczne, standardowe ujawnienie informacji o ryzyku cyberbezpieczeństwa.
Parafrazując skargę SEC: „Nawet jeśli niektóre indywidualne ryzyka i zdarzenia omówione w tej skardze nie osiągnęły poziomu wymagającego ujawnienia… łącznie stworzyły tak zwiększone ryzyko…”, że ujawnienia SolarWinds stały się „istotnie wprowadzające w błąd” .” Co gorsza, zdaniem SEC spółka SolarWinds powtórzyła standardowe ujawnienia, mimo że pojawiło się coraz więcej sygnałów ostrzegawczych.
Jedną z pierwszych rzeczy, których uczysz się jako prawnik zajmujący się papierami wartościowymi, jest to, że ujawnienia, czynniki ryzyka i zmiany czynników ryzyka w dokumentach spółki do SEC są niezwykle ważne. Są wykorzystywane przez inwestorów i analityków papierów wartościowych do oceny i rekomendowania zakupów i sprzedaży akcji. Ze zdziwieniem przeczytałem w jednym z wywiadów amicus, że „CISO zazwyczaj nie są odpowiedzialni za sporządzanie lub zatwierdzanie” ujawnień publicznych. Może powinny być.
Proponowanie bezpiecznej przystani w zakresie środków zaradczych
Chcę zaproponować coś innego: bezpieczną przystań w zakresie działań naprawczych w przypadku zagrożeń i incydentów związanych z cyberbezpieczeństwem. SEC nie była ślepa na kwestię środków zaradczych. W związku z tym stwierdził:
„SolarWinds nie rozwiązał również problemów opisanych powyżej przed debiutem giełdowym w październiku 2018 r., a w przypadku wielu z nich przez miesiące lub lata później. W ten sposób cyberprzestępcy mogli później wykorzystać wciąż niezałataną lukę w zabezpieczeniach VPN, aby uzyskać dostęp do wewnętrznych systemów SolarWinds w styczniu 2019 r., uniknąć wykrycia przez prawie dwa lata i ostatecznie wprowadzić złośliwy kod, co doprowadziło do cyberataku SUNBURST”.
Według mojej propozycji, jeśli jakakolwiek firma usunie braki lub atak w ciągu czterech dni, powinna być w stanie (a) uniknąć roszczeń o oszustwo (tj. nie ma o czym rozmawiać) lub (b) zastosować standardowe 10Q i 10K procesu, w tym sekcji dyskusji i analiz kierownictwa, w celu ujawnienia incydentu. To mogło nie pomóc SolarWinds. Po ujawnieniu sytuacji 8K stwierdziło, że oprogramowanie firmy „zawiera złośliwy kod wprowadzony przez ugrupowania zagrażające” bez żadnej wzmianki o możliwości zaradzenia problemowi. Mimo to w przypadku niezliczonych innych spółek publicznych stojących w obliczu niekończącej się bitwy między atakującym a obrońcą bezpieczna przystań w zakresie środków zaradczych zapewniłaby im pełne czterodniowe ramy czasowe na ocenę incydentu i zareagowanie na niego. Następnie, jeśli zostanie to usunięte, poświęć trochę czasu na odpowiednie ujawnienie incydentu. Inną korzyścią wynikającą z podejścia „najpierw środki zaradcze” jest położenie większego nacisku na reakcję cybernetyczną i mniejszy wpływ na akcje spółki. 8K można nadal wykorzystywać w przypadku nierozwiązanych incydentów związanych z cyberbezpieczeństwem.
Wnioski
Bez względu na to, gdzie odpowiesz na pytanie, czy SEC powinna była podjąć działania, czy nie, kwestia, w jaki sposób, kiedy i gdzie ujawniamy incydenty związane z cyberbezpieczeństwem, będzie ważna dla wszystkich specjalistów ds. cyberbezpieczeństwa. Ze swojej strony uważam, że CISO powinien kontrolować lub przynajmniej zatwierdzać ujawnienia firmy w przypadku wystąpienia incydentów związanych z cyberbezpieczeństwem. Co więcej, CISO powinien szukać platform zapewniających jedną szybę, aby szybko „zobaczyć i rozwiązać problem”, przy możliwie najmniejszej liczbie zależności. Jeśli uda nam się zachęcić SEC do przyjęcia podejścia skupiającego się przede wszystkim na środkach zaradczych, możemy po prostu otworzyć drzwi do lepszego ujawniania informacji na temat cyberbezpieczeństwa dla wszystkich.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/cyberattacks-data-breaches/solarwinds-2024-where-do-cyber-disclosures-go-from-here
