КОММЕНТАРИЙ
В одном из Ранее статьяЯ рассказал, что означают обвинения SolarWinds и четырехдневное правило Комиссии по ценным бумагам и биржам (SEC) для DevSecOps. Сегодня давайте зададим другой вопрос: куда дальше пойдут раскрытия информации в киберпространстве?
До того, как я пришел в индустрию кибербезопасности, я был юристом по ценным бумагам. Я потратил много времени на изучение правил SEC и регулярно работал с SEC. Эта статья не является юридической консультацией. Это практический совет от человека, действительно, хотя и отдаленно знакомого с SEC.
Коротко об обвинении Комиссии по ценным бумагам и биржам (SEC)
30 октября 2023 г. SEC подала жалобу против SolarWinds и ее директора по информационной безопасности, обвиняя их в «мошенничестве и сбоях внутреннего контроля», а также в «искажениях, упущениях и схемах, которые скрывали как неудовлетворительные методы кибербезопасности компании, так и ее повышенные – и растущие – риски кибербезопасности», включая воздействие фактического атаку на ее системы и клиентов.
Отложив вопрос «должен» в сторону
Я хочу отложить в сторону вопрос о том, должна ли Комиссия по ценным бумагам и биржам (SEC) принимать меры. На эту тему уже много голосов. Некоторые утверждают, что публичные заявления SolarWinds о кибербезопасности были амбициозными, а не фактическими. Другие придерживаются мнения, что директора по информационной безопасности не должны подвергаться нападкам, поскольку его отдел не может обеспечить необходимую защиту. В этом он полагался на других. Наконец, в отчетах amicus, поданных в поддержку SolarWinds и ее директора по информационной безопасности, утверждается, что дело будет иметь решающее значение. сдерживающий эффект на найм и удержание должностей директоров по информационной безопасности, внутренние коммуникации, усилия по улучшению кибербезопасности и многое другое.
Проблема киберраскрытия
Комиссия по ценным бумагам и биржам начала свою жалобу с указания на то, что компания подала заявление о регистрации IPO в октябре 2018 года. Этот документ содержал шаблонное описание и гипотетическое раскрытие факторов риска кибербезопасности. В том же месяце в жалобе SEC говорится: «Браун написал во внутренней презентации, что SolarWinds»Текущее состояние безопасности оставляет нас в очень уязвимом состоянии для наших критически важных активов.. '”
Это расхождение серьезное, и SEC заявила, что оно только ухудшилось. Несмотря на то, что сотрудники и руководители SolarWinds знали о растущих рисках, уязвимостях и атаках на продукты SolarWinds с течением времени, «раскрытие информации о рисках кибербезопасности SolarWinds никоим образом не раскрывало их». Чтобы проиллюстрировать свою точку зрения, SEC перечислила все публичные документы SEC после IPO, которые включали одно и то же, неизмененное, гипотетическое, шаблонное раскрытие рисков кибербезопасности.
Перефразируя жалобу SEC: «Даже если некоторые из отдельных рисков и инцидентов, обсуждаемых в этой жалобе, сами по себе не поднялись до уровня, требующего раскрытия… в совокупности они создали такой повышенный риск…», что раскрытие информации SolarWinds стало «существенно вводящим в заблуждение». ». Хуже того, по данным SEC, SolarWinds повторила типовые стандартные раскрытия информации, даже несмотря на то, что накапливалось все больше тревожных флажков.
Одна из первых вещей, которую вы усвоите как юрист по ценным бумагам, — это то, что раскрытие информации, факторы риска и изменения факторов риска в отчетности компании SEC чрезвычайно важны. Они используются инвесторами и аналитиками по ценным бумагам для оценки и рекомендаций по покупке и продаже акций. Я был удивлен, прочитав в одном из отчетов amicus, что «директора по информационной безопасности обычно не несут ответственности за подготовку или утверждение» публичной информации. Может быть, так и должно быть.
Предложение создания «безопасной гавани» для восстановления
Я хочу предложить нечто иное: безопасную гавань для устранения рисков и инцидентов кибербезопасности. Комиссия по ценным бумагам и биржам (SEC) не была слепа к вопросу о возмещении ущерба. В связи с этим было сказано:
«SolarWinds также не смогла устранить описанные выше проблемы перед IPO в октябре 2018 года, а многие из них — в течение месяцев или лет после этого. Таким образом, злоумышленники смогли позже воспользоваться до сих пор не устраненной уязвимостью VPN для доступа к внутренним системам SolarWinds в январе 2019 года, избежать обнаружения в течение почти двух лет и в конечном итоге внедрить вредоносный код, что привело к кибератаке SUNBURST».
По моему предложению, если какая-либо компания устранит недостатки или атаку в течение четырех дней, она должна иметь возможность (а) избежать претензий о мошенничестве (т. е. не о чем говорить) или (б) использовать стандартные 10Q и 10K. процесс, включая раздел «Обсуждение и анализ руководства», для раскрытия инцидента. Возможно, это не помогло SolarWinds. Когда компания 8K раскрыла ситуацию, она заявила, что программное обеспечение компании «содержит вредоносный код, который был внедрен злоумышленниками» без каких-либо упоминаний о возможности исправления ситуации. Тем не менее, для бесчисленного множества других публичных компаний, столкнувшихся с бесконечной битвой между нападающим и защитником, безопасная гавань для восстановления предоставит им полный четырехдневный срок для оценки инцидента и реагирования на него. Затем, если это исправлено, найдите время, чтобы должным образом раскрыть инцидент. Другое преимущество подхода «сначала исправить ситуацию» заключается в том, что больше внимания будет уделяться реагированию на киберпреступления и меньшему влиянию на публичные акции компании. 8K по-прежнему можно использовать для устранения неразрешенных инцидентов кибербезопасности.
Заключение
Независимо от того, где вы высказываетесь по вопросу о том, следовало ли SEC действовать или нет, вопрос о том, как, когда и где мы раскрываем инциденты кибербезопасности, будет важным для всех киберпрофессионалов. Со своей стороны, я считаю, что директор по информационной безопасности должен контролировать или, по крайней мере, одобрять раскрытие информации компанией в случае возникновения инцидентов, связанных с кибербезопасностью. Более того, директор по информационной безопасности должен искать платформы, которые предоставляют единое окно, позволяющее быстро «увидеть проблему и решить ее» с наименьшим возможным количеством зависимостей. Если мы сможем убедить Комиссию по ценным бумагам и биржам (SEC) принять подход, ориентированный на устранение нарушений, мы, возможно, откроем дверь к более качественному раскрытию информации о кибербезопасности для всех.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cyberattacks-data-breaches/solarwinds-2024-where-do-cyber-disclosures-go-from-here
