COMMENTARY
ใน บทความก่อนหน้านี้ฉันได้กล่าวถึงความหมายของคำฟ้องของ SolarWinds ของสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (SEC) และกฎสี่วันสำหรับ DevSecOps วันนี้ เรามาถามคำถามอื่น: การเปิดเผยข้อมูลทางไซเบอร์ไปจากที่นี่ที่ไหน?
ก่อนที่ฉันจะเข้าร่วมอุตสาหกรรมความปลอดภัยทางไซเบอร์ ฉันเคยเป็นทนายความด้านหลักทรัพย์ ฉันใช้เวลาส่วนใหญ่ในการสำรวจกฎของ SEC และทำงานร่วมกับ SEC เป็นประจำ บทความนี้ไม่ใช่คำแนะนำทางกฎหมาย เป็นคำแนะนำที่เป็นประโยชน์จากบุคคลที่คุ้นเคยกับ ก.ล.ต. จริงๆ แม้จะอยู่ห่างไกลก็ตาม
คำฟ้องของ ก.ล.ต. โดยสรุป
เมื่อวันที่ 30 ต.ค. 2023 ร ก.ล.ต. ยื่นเรื่องร้องเรียน ต่อต้าน SolarWinds และหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล โดยตั้งข้อหา “ความล้มเหลวในการฉ้อโกงและการควบคุมภายใน” และ “การแสดงข้อมูลที่ขัดต่อข้อเท็จจริง การละเว้น และแผนการที่ปกปิดทั้งแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ไม่ดีของ บริษัท และความเสี่ยงด้านความปลอดภัยทางไซเบอร์ที่เพิ่มขึ้นและเพิ่มขึ้น” รวมถึงผลกระทบที่เกิดขึ้นจริง โจมตีระบบและลูกค้า
วางคำถาม "ควร" ไว้ข้างๆ
ผมขอพักไว้ก่อนว่า ก.ล.ต. ควรดำเนินการหรือไม่ มีเสียงมากมายในหัวข้อนี้แล้ว บางคนแย้งว่าคำแถลงด้านความปลอดภัยทางไซเบอร์สาธารณะของ SolarWinds นั้นมีจุดมุ่งหมาย ไม่ใช่ข้อเท็จจริง คนอื่นๆ มองว่า CISO ไม่ควรตกเป็นเป้าหมาย เนื่องจากแผนกของเขาไม่สามารถดำเนินการป้องกันที่จำเป็นได้ เขาพึ่งคนอื่นให้ทำเช่นนั้น ในที่สุด บทสรุป Amicus ที่ยื่นเพื่อสนับสนุน SolarWinds และ CISO แย้งว่าคดีนี้จะมี ผลกระทบอันน่าขนลุกต่อการจ้างงานและการรักษาบทบาท CISOการสื่อสารภายใน ความพยายามในการปรับปรุงความปลอดภัยทางไซเบอร์ และอื่นๆ
ปัญหาการเปิดเผยข้อมูลทางไซเบอร์
ก.ล.ต. เริ่มร้องเรียนโดยชี้ให้เห็นว่าบริษัทได้ยื่นคำชี้แจงการจดทะเบียน IPO ในเดือนตุลาคม 2018 เอกสารดังกล่าวมีข้อมูลสำเร็จรูปและการเปิดเผยปัจจัยเสี่ยงด้านความปลอดภัยทางไซเบอร์ตามสมมุติฐาน ในเดือนเดียวกัน คำร้องเรียนของ ก.ล.ต. อ่านว่า “บราวน์เขียนในการนำเสนอภายในว่า SolarWinds'สถานะการรักษาความปลอดภัยในปัจจุบันทำให้เราตกอยู่ในสถานะที่มีความเสี่ยงสูงสำหรับทรัพย์สินที่สำคัญของเรา.””
ความแตกต่างนี้เป็นเรื่องใหญ่ และ ก.ล.ต. บอกว่ามันแย่ลงเท่านั้น แม้ว่าพนักงานและผู้บริหารของ SolarWinds จะรู้เกี่ยวกับความเสี่ยงที่เพิ่มขึ้น ช่องโหว่ และการโจมตีผลิตภัณฑ์ของ SolarWinds เมื่อเวลาผ่านไป แต่ “การเปิดเผยความเสี่ยงด้านความปลอดภัยทางไซเบอร์ของ SolarWinds ไม่ได้เปิดเผยข้อมูลเหล่านี้ในทางใดทางหนึ่ง” เพื่อแสดงให้เห็นถึงประเด็นนี้ ก.ล.ต. ได้แสดงรายการเอกสารที่ยื่นต่อสาธารณะของ SEC ทั้งหมดตามการเสนอขายหุ้น IPO ซึ่งรวมถึงการเปิดเผยความเสี่ยงด้านความปลอดภัยทางไซเบอร์แบบสำเร็จรูปที่ไม่มีการเปลี่ยนแปลงและสมมุติฐานเหมือนกัน
เพื่อถอดความคำร้องเรียนของ SEC: “แม้ว่าความเสี่ยงและเหตุการณ์ส่วนบุคคลบางส่วนที่กล่าวถึงในคำร้องเรียนนี้ไม่ได้เพิ่มขึ้นถึงระดับที่ต้องเปิดเผยด้วยตนเอง … โดยรวมแล้วพวกเขาสร้างความเสี่ยงที่เพิ่มขึ้นเช่นนี้…” การเปิดเผยของ SolarWinds กลายเป็น “ทำให้เข้าใจผิดอย่างมีนัยสำคัญ ” ที่แย่กว่านั้นคือ ตามที่สำนักงาน ก.ล.ต. SolarWinds เปิดเผยการเปิดเผยข้อมูลสำเร็จรูปทั่วไปซ้ำแล้วซ้ำเล่า แม้ว่าจะมีธงสีแดงสะสมจำนวนมากก็ตาม
สิ่งแรกๆ ที่คุณเรียนรู้ในฐานะทนายความด้านหลักทรัพย์คือการเปิดเผยข้อมูล ปัจจัยเสี่ยง และการเปลี่ยนแปลงปัจจัยเสี่ยงในการยื่นต่อ SEC ของบริษัทมีความสำคัญอย่างมาก นักลงทุนและนักวิเคราะห์หลักทรัพย์ใช้ข้อมูลเหล่านี้ในการประเมินและแนะนำการซื้อและขายหุ้น ฉันรู้สึกประหลาดใจที่ได้อ่านบทสรุปของ Amicus ฉบับหนึ่งว่า “โดยปกติแล้ว CISO จะไม่รับผิดชอบในการร่างหรืออนุมัติ” การเปิดเผยต่อสาธารณะ บางทีพวกเขาควรจะเป็น
การเสนอมาตรการ Safe Harbor เพื่อการเยียวยา
ฉันต้องการเสนอสิ่งที่แตกต่างออกไป: แหล่งที่ปลอดภัยในการแก้ไขสำหรับความเสี่ยงและเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ ก.ล.ต. ไม่ได้ตาบอดกับคำถามของการแก้ไข ในเรื่องนี้กล่าวว่า:
“SolarWinds ยังล้มเหลวในการแก้ไขปัญหาที่อธิบายไว้ข้างต้นก่อนการเสนอขายหุ้น IPO ในเดือนตุลาคม 2018 และสำหรับหลาย ๆ คนเป็นเวลาหลายเดือนหรือหลายปีหลังจากนั้น ดังนั้นผู้คุกคามจึงสามารถใช้ประโยชน์จากช่องโหว่ VPN ที่ยังไม่ได้รับการแก้ไขในภายหลังเพื่อเข้าถึงระบบภายในของ SolarWinds ในเดือนมกราคม 2019 หลีกเลี่ยงการตรวจจับเป็นเวลาเกือบสองปี และในที่สุดก็แทรกโค้ดที่เป็นอันตรายซึ่งส่งผลให้เกิดการโจมตีทางไซเบอร์ของ SUNBURST”
ในข้อเสนอของฉัน หากบริษัทใดๆ แก้ไขข้อบกพร่องหรือการโจมตีภายในกรอบเวลาสี่วัน บริษัทควรจะสามารถ (a) หลีกเลี่ยงการเรียกร้องการฉ้อโกง (กล่าวคือ ไม่มีอะไรจะพูดถึง) หรือ (b) ใช้ 10Q และ 10K มาตรฐาน รวมถึงส่วนคำอธิบายและการวิเคราะห์ของฝ่ายจัดการ เพื่อเปิดเผยเหตุการณ์ดังกล่าว สิ่งนี้อาจไม่ช่วย SolarWinds เมื่อเปิดเผยสถานการณ์ 8K ระบุว่าซอฟต์แวร์ของบริษัท “มีโค้ดที่เป็นอันตรายซึ่งถูกแทรกโดยผู้คุกคาม” โดยไม่มีการอ้างอิงถึงการแก้ไขใดๆ ถึงกระนั้น สำหรับบริษัทมหาชนอื่นๆ นับไม่ถ้วนที่ต้องเผชิญกับการต่อสู้ที่ไม่มีวันสิ้นสุดระหว่างผู้โจมตีและผู้ปกป้อง ช่องทางที่ปลอดภัยในการแก้ไขจะช่วยให้พวกเขามีกรอบเวลาสี่วันเต็มในการประเมินและตอบสนองต่อเหตุการณ์ดังกล่าว จากนั้นหากได้รับการแก้ไขก็ใช้เวลาในการเปิดเผยเหตุการณ์อย่างเหมาะสม ข้อดีอีกประการของแนวทาง "แก้ไขก่อน" ก็คือ จะเน้นไปที่การตอบสนองทางไซเบอร์มากขึ้น และส่งผลกระทบต่อหุ้นสาธารณะของบริษัทน้อยลง 8K ยังคงสามารถใช้เพื่อเหตุการณ์ความปลอดภัยทางไซเบอร์ที่ไม่ได้รับการแก้ไข
สรุป
ไม่ว่าคุณจะออกมาตอบคำถามว่า SEC ควรดำเนินการหรือไม่ คำถามที่ว่าเราจะเปิดเผยเหตุการณ์ความปลอดภัยทางไซเบอร์อย่างไร เมื่อใด และที่ไหน จะกลายเป็นคำถามใหญ่สำหรับผู้เชี่ยวชาญด้านไซเบอร์ทุกคน ในส่วนของฉัน ฉันคิดว่า CISO ควรควบคุมหรืออย่างน้อยที่สุดก็อนุมัติการเปิดเผยของบริษัทเมื่อเกิดเหตุการณ์ความปลอดภัยทางไซเบอร์ ยิ่งไปกว่านั้น CISO ควรมองหาแพลตฟอร์มที่มีกระจกบานเดียวเพื่อ “มองเห็นและแก้ไข” อย่างรวดเร็ว โดยมีการพึ่งพาน้อยที่สุดเท่าที่จะทำได้ หากเราสามารถสนับสนุนให้ ก.ล.ต. ยอมรับกรอบความคิดที่เน้นการแก้ไขเป็นอันดับแรก เราก็อาจเปิดประตูสู่การเปิดเผยข้อมูลด้านความปลอดภัยทางไซเบอร์ที่ดีขึ้นสำหรับทุกคน
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cyberattacks-data-breaches/solarwinds-2024-where-do-cyber-disclosures-go-from-here