Generativ dataintelligens

Cybersäkerhet

SolarWinds 2024: Var går cyberupplysningar härifrån?

Republiserad av Platon
Republiserad av Platon

Datum:

Visningar: 0

KOMMENTAR

I ett tidigare artikel, jag täckte vad Securities and Exchange Commissions (SEC) SolarWinds åtal och fyradagarsregeln betyder för DevSecOps. Låt oss i dag ställa en annan fråga: Var går cyberavslöjandena härifrån?

Innan jag började på cybersäkerhetsbranschen var jag värdepappersadvokat. Jag tillbringade mycket tid med att navigera i SEC-reglerna och arbetade med SEC regelbundet. Den här artikeln är inte juridisk rådgivning. Det är praktiska råd från någon med verklig, om än avlägsen, bekantskap med SEC.

SEC-antalet i ett nötskal

Den 30 oktober 2023 SEC lämnade in ett klagomål mot SolarWinds och dess informationssäkerhetschef och anklagar "bedrägeri och internkontrollmisslyckanden" och "felaktiga uppgifter, utelämnanden och system som dolde både företagets dåliga cybersäkerhetspraxis och dess ökade - och ökande - cybersäkerhetsrisker", inklusive effekten av en faktisk attackera sina system och kunder. 

Lägger "bör"-frågan åt sidan 

Jag vill lägga åt sidan om SEC borde ha vidtagit åtgärder. Det finns redan många röster om detta ämne. Vissa hävdar att SolarWinds offentliga uttalanden om cybersäkerhet var ambitiösa, inte sakliga. Andra intar ståndpunkten att CISO inte bör vara måltavla eftersom hans avdelning inte kunde leverera det nödvändiga försvaret. Han litade på att andra skulle göra det. Slutligen hävdade de amicus-underlag som lämnades in till stöd för SolarWinds och dess CISO att fallet kommer att ha en kylande effekt på anställning och bibehållande av CISO-roller, intern kommunikation, insatser för att förbättra cybersäkerhet med mera. 

Problemet med cyberavslöjande 

SEC inledde sitt klagomål med att påpeka att företaget lämnade in sitt IPO-registreringsutlåtande i oktober 2018. Det dokumentet hade en grundplan och hypotetisk riskfaktor för cybersäkerhet. Samma månad lyder SEC:s klagomål: "Brown skrev i en intern presentation att SolarWinds'nuvarande säkerhetstillstånd lämnar oss i ett mycket sårbart tillstånd för våra kritiska tillgångar. ””

Denna avvikelse är stor, och SEC sa att det bara blev värre. Även om SolarWinds anställda och chefer kände till de ökande riskerna, sårbarheterna och attackerna mot SolarWinds produkter över tid, "avslöjade SolarWinds cybersäkerhetsrisker inte dem på något sätt." För att illustrera sin poäng listade SEC alla offentliga SEC-anmälningar efter börsintroduktionen som inkluderade samma, oförändrade, hypotetiska, avslöjande av cybersäkerhetsrisker. 

För att parafrasera SEC:s klagomål: "Även om några av de individuella riskerna och incidenterna som diskuteras i detta klagomål inte stiger till nivån av att kräva avslöjande på egen hand ... tillsammans skapade de en sådan ökad risk ..." att SolarWinds avslöjanden blev "avsevärt missvisande .” Ännu värre, enligt SEC, upprepade SolarWinds de generiska avslöjandena även när ett ackumulerande antal röda flaggor hopade sig. 

En av de första sakerna du lär dig som värdepappersadvokat är att upplysningar, riskfaktorer och förändringar av riskfaktorer i ett företags SEC-anmälningar är oerhört viktiga. De används av investerare och värdepappersanalytiker för att utvärdera och rekommendera aktieköp och försäljningar. Jag blev förvånad över att läsa i en av amicus-korten att "CISO:er är vanligtvis inte ansvariga för att utarbeta eller godkänna" offentliga avslöjanden. Kanske borde de vara det. 

Föreslå en saneringssäker hamn 

Jag vill föreslå något annat: en saneringssäker hamn för cybersäkerhetsrisker och incidenter. SEC var inte blind för frågan om sanering. I detta avseende stod det:

"SolarWinds misslyckades också med att åtgärda problemen som beskrivs ovan inför sin börsintroduktion i oktober 2018, och för många av dem, i månader eller år efteråt. Således kunde hotaktörer senare utnyttja den fortfarande oåtgärdade VPN-sårbarheten för att komma åt SolarWinds interna system i januari 2019, undvika upptäckt i nästan två år och slutligen infoga skadlig kod som resulterade i SUNBURST-cyberattacken.”

I mitt förslag, om något företag åtgärdar bristerna eller attacken inom fyra dagars tidsram, bör det kunna (a) undvika ett bedrägeripåstående (dvs. inget att prata om) eller (b) använda standarden 10Q och 10K process, inklusive avsnittet Management Discussion and Analysis, för att avslöja incidenten. Detta kanske inte hjälpte SolarWinds. När den avslöjade situationen sa dess 8K att företagets programvara "innehöll skadlig kod som hade infogats av hotaktörer" utan någon hänvisning till åtgärdande. Ändå, för otaliga andra offentliga företag som står inför den oändliga striden mellan angripare och försvarare, skulle en säker hamn för sanering ge dem hela fyra dagars tidsram för att utvärdera och svara på incidenten. Ta dig sedan tid att avslöja händelsen ordentligt om den åtgärdas. Den andra fördelen med denna "åtgärda först"-metoden är att det kommer att läggas mer tonvikt på cyberrespons och mindre påverkan på ett företags offentliga aktie. 8Ks kan fortfarande användas för olösta cybersäkerhetsincidenter. 

Slutsats

Oavsett var du kommer ut i frågan om huruvida SEC borde ha agerat eller inte, kommer frågan om hur, när och var vi avslöjar cybersäkerhetsincidenter att vara en stor fråga för alla cyberproffs. För min del tycker jag att CISO bör kontrollera eller åtminstone godkänna företagets avslöjande när cybersäkerhetsincidenter uppstår. Mer än så bör CISO leta efter plattformar som tillhandahåller en enda glasruta för att "se det och lösa det" snabbt, med minsta möjliga beroenden. Om vi ​​kan uppmuntra SEC att anamma ett åtgärdande-först-tänkesätt, kan vi bara öppna dörren till bättre avslöjande av cybersäkerhet för alla. 

plats_img

Senaste intelligens

plats_img

Copyright @ 2024 Plato Technologies Inc.

Chatta med oss

Hallå där! Hur kan jag hjälpa dig?