SolarWinds 2024: Para onde vão as divulgações cibernéticas a partir daqui?

COMENTÁRIO

Em um artigo anterior, abordei o que as acusações da SolarWinds da Securities and Exchange Commission (SEC) e a regra de quatro dias significam para o DevSecOps. Hoje, vamos fazer uma pergunta diferente: para onde vão as divulgações cibernéticas a partir daqui?

Antes de ingressar no setor de segurança cibernética, era advogado de valores mobiliários. Passei muito tempo navegando pelas regras da SEC e trabalhei com a SEC regularmente. Este artigo não é um aconselhamento jurídico. É um conselho prático de alguém com familiaridade real, embora distante, com a SEC.

A acusação da SEC em poucas palavras

Em 30 de outubro de 2023, o SEC apresentou uma reclamação contra a SolarWinds e seu diretor de segurança da informação, acusando “fraude e falhas de controle interno” e “declarações incorretas, omissões e esquemas que ocultaram as más práticas de segurança cibernética da empresa e seus elevados – e crescentes – riscos de segurança cibernética”, incluindo o impacto de um real ataque aos seus sistemas e clientes.

Deixando a questão do “deveria” de lado

Quero deixar de lado se a SEC deveria ter agido. Já existem muitas vozes sobre esse assunto. Alguns argumentam que as declarações públicas de segurança cibernética da SolarWinds eram aspiracionais, e não factuais. Outros defendem a posição de que o CISO não deveria ser alvo porque o seu departamento não conseguiu fornecer as defesas necessárias. Ele confiou em outros para fazer isso. Por fim, os amicus briefs apresentados em apoio à SolarWinds e seu CISO argumentaram que o caso terá um efeito inibidor na contratação e retenção de funções de CISO, comunicação interna, esforços para melhorar a segurança cibernética e muito mais.

O problema da divulgação cibernética

A SEC iniciou sua reclamação apontando que a empresa apresentou sua declaração de registro de IPO em outubro de 2018. Esse documento continha uma divulgação padronizada e hipotética de fatores de risco de segurança cibernética. No mesmo mês, diz a reclamação da SEC: “Brown escreveu em uma apresentação interna que a SolarWinds' 'o actual estado de segurança deixa-nos num estado muito vulnerável para os nossos activos críticos. '”

Essa discrepância é grande e a SEC disse que só piorou. Embora os funcionários e executivos da SolarWinds soubessem dos crescentes riscos, vulnerabilidades e ataques contra os produtos da SolarWinds ao longo do tempo, “as divulgações de riscos de segurança cibernética da SolarWinds não os divulgaram de forma alguma”. Para ilustrar seu ponto de vista, a SEC listou todos os registros públicos da SEC após o IPO que incluíam a mesma divulgação de risco de segurança cibernética, inalterada, hipotética e padronizada.

Parafraseando a reclamação da SEC: “Mesmo que alguns dos riscos e incidentes individuais discutidos nesta reclamação não tenham chegado ao nível de exigir divulgação por si próprios… coletivamente, eles criaram um risco tão maior…” que as divulgações da SolarWinds se tornaram “materialmente enganosas .” Pior ainda, de acordo com a SEC, a SolarWinds repetiu as divulgações genéricas, mesmo com um número crescente de bandeiras vermelhas se acumulando.

Uma das primeiras coisas que você aprende como advogado de valores mobiliários é que divulgações, fatores de risco e alterações nos fatores de risco nos registros de uma empresa na SEC são extremamente importantes. Eles são usados por investidores e analistas de valores mobiliários para avaliar e recomendar compras e vendas de ações. Fiquei surpreso ao ler em um dos amicus briefs que “os CISOs normalmente não são responsáveis pela elaboração ou aprovação” de divulgações públicas. Talvez devessem ser.

Propondo um porto seguro de remediação

Quero propor algo diferente: um porto seguro de remediação para riscos e incidentes de segurança cibernética. A SEC não ficou cega à questão da remediação. A este respeito, disse:

“A SolarWinds também não conseguiu remediar os problemas descritos acima antes do seu IPO em outubro de 2018 e, para muitos deles, durante meses ou anos depois. Assim, os agentes da ameaça conseguiram explorar posteriormente a vulnerabilidade VPN ainda não corrigida para acessar os sistemas internos da SolarWinds em janeiro de 2019, evitar a detecção por quase dois anos e, por fim, inserir código malicioso, resultando no ataque cibernético SUNBURST.”

Na minha proposta, se alguma empresa corrigir as deficiências ou o ataque dentro do prazo de quatro dias, deverá ser capaz de (a) evitar uma reclamação de fraude (ou seja, não há nada para falar) ou (b) usar o padrão 10Q e 10K processo, incluindo a seção de Discussão e Análise Gerencial, para divulgar o incidente. Isso pode não ter ajudado a SolarWinds. Quando divulgou a situação, o seu 8K disse que o software da empresa “continha código malicioso que havia sido inserido por agentes de ameaças” sem qualquer referência à remediação. Ainda assim, para inúmeras outras empresas públicas que enfrentam a batalha sem fim entre atacante e defensor, um porto seguro de remediação permitir-lhes-ia o prazo completo de quatro dias para avaliar e responder ao incidente. Então, se for remediado, reserve um tempo para divulgar o incidente de maneira adequada. O outro benefício desta abordagem “remediar primeiro” é que haverá mais ênfase na resposta cibernética e menos impacto nas ações públicas de uma empresa. Os 8K ainda podem ser usados para incidentes de segurança cibernética não resolvidos.

Conclusão

Não importa onde você se posicione sobre se a SEC deveria ter agido ou não, a questão de como, quando e onde divulgamos incidentes de segurança cibernética será um grande problema para todos os profissionais cibernéticos. Da minha parte, penso que o CISO deveria controlar ou, pelo menos, aprovar as divulgações da empresa quando surgem incidentes de segurança cibernética. Mais do que isso, o CISO deve buscar plataformas que forneçam um painel único para “ver e resolver” rapidamente, com o mínimo de dependências possível. Se pudermos incentivar a SEC a adotar uma mentalidade de remediar primeiro, poderemos abrir a porta para uma melhor divulgação da segurança cibernética para todos.

Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
Fonte: https://www.darkreading.com/cyberattacks-data-breaches/solarwinds-2024-where-do-cyber-disclosures-go-from-here

Inteligência de dados generativa

SolarWinds 2024: Para onde vão as divulgações cibernéticas a partir daqui?

A acusação da SEC em poucas palavras

Deixando a questão do “deveria” de lado

O problema da divulgação cibernética

Propondo um porto seguro de remediação

Conclusão

Seis clientes da Coinbase alegam que a exchange está violando as leis de valores mobiliários em novo processo

Seis clientes da Coinbase alegam que a exchange está violando as leis de valores mobiliários em novo processo

Inteligência mais recente

Essas divisões contribuíram significativamente para o lucro do Tether no primeiro trimestre de 1 de US$ 2024 bilhões

Essas divisões contribuíram significativamente para o lucro do Tether no primeiro trimestre de 1 de US$ 2024 bilhões

Refrigerador de tubo de pulso modificado reduz pela metade o tempo de resfriamento criogênico

Ex-FTX Europe Exec compra Titanic Gold Watch por US$ 1.5 milhão: Relatório

Ex-FTX Europe Exec compra Titanic Gold Watch por US$ 1.5 milhão: Relatório

As táticas de distribuição de tokens devem se concentrar no valor real, não no exagero, diz o fundador do Uniswap

Fale Conosco