Generative Data Intelligence

кібербезпека

SolarWinds 2024: куди подіються кіберрозкриття інформації?

Перевидав Платон
Перевидав Платон

Дата:

переглядів: 0

КОМЕНТАР

У Раніше стаття, я розповів про те, що означають для DevSecOps звинувачення Комісії з цінних паперів і бірж (SEC) SolarWinds і правило чотирьох днів. Сьогодні давайте поставимо інше запитання: куди звідси поділося кіберрозкриття?

Перш ніж приєднатися до індустрії кібербезпеки, я був юристом з цінних паперів. Я витратив багато часу на навігацію правилами SEC і регулярно працював із SEC. Ця стаття не є юридичною порадою. Це практична порада від людини, яка справді, хоча й далеко знайома з SEC.

Коротко про звинувачення SEC

30 жовтня 2023 р SEC подала скаргу проти SolarWinds та її головного спеціаліста з інформаційної безпеки, висунувши звинувачення у «шахрайстві та збоях у внутрішньому контролі», а також у «викривленнях, упущеннях і схемах, які приховували як погану практику кібербезпеки Компанії, так і її підвищені — та зростаючі — ризики кібербезпеки», включаючи вплив фактичного атакувати його системи та клієнтів. 

Відкладаємо питання «треба». 

Я хочу відкласти питання про те, чи повинна була SEC вжити заходів. Вже є багато голосів на цю тему. Деякі стверджують, що публічні заяви SolarWinds щодо кібербезпеки були бажаними, а не фактичними. Інші дотримуються позиції, що CISO не повинен бути мішенню, оскільки його відділ не міг забезпечити необхідний захист. Він покладався на інших, щоб це зробити. Нарешті, amicus briefs, подані на підтримку SolarWinds та її CISO, стверджували, що справа матиме негативний вплив на наймання та збереження ролей CISO, внутрішня комунікація, зусилля з покращення кібербезпеки тощо. 

Проблема кіберрозкриття 

SEC почала свою скаргу з того, що в жовтні 2018 року компанія подала заяву про реєстрацію IPO. У цьому документі містилося типове та гіпотетичне розкриття факторів ризику кібербезпеки. Того ж місяця в скарзі SEC сказано: «Браун написав у внутрішній презентації, що SolarWinds»поточний стан безпеки робить нас дуже вразливими для наших критично важливих активів. '"

Ця розбіжність є великою, і SEC заявила, що вона лише погіршилася. Незважаючи на те, що співробітники та керівники SolarWinds знали про зростаючі ризики, уразливості та атаки на продукти SolarWinds з часом, «розкриття ризиків кібербезпеки SolarWinds жодним чином не розкривало їх». Щоб проілюструвати свою тезу, SEC перерахувала всі публічні документи SEC після IPO, які містили те саме, незмінне, гіпотетичне, шаблонне розкриття інформації про ризики кібербезпеки. 

Перефразовуючи скаргу SEC: «Навіть якщо деякі з окремих ризиків та інцидентів, обговорюваних у цій скарзі, самі по собі не вимагали розкриття … у сукупності вони створювали такий підвищений ризик…», що розкриття інформації SolarWinds стало «суттєво вводячим в оману .” Що ще гірше, за даними SEC, SolarWinds повторила загальні стандартні розкриття інформації, навіть коли накопичувалась кількість червоних прапорців. 

Одна з перших речей, про які ви дізнаєтеся як юрист з цінних паперів, це те, що розкриття інформації, фактори ризику та зміни факторів ризику в документах SEC надзвичайно важливі. Вони використовуються інвесторами та аналітиками цінних паперів, щоб оцінювати та рекомендувати купівлю та продаж акцій. Я був здивований, прочитавши в одному з записів amicus, що «КІСО зазвичай не відповідають за складання або затвердження» публічних розкриттів. Можливо, вони повинні бути. 

Пропозиція безпечної гавані для відновлення 

Я хочу запропонувати дещо інше: безпечну гавань усунення ризиків та інцидентів кібербезпеки. Комісія з цінних паперів і цінних паперів (SEC) не закривала очі на питання відновлення. З цього приводу було сказано:

«SolarWinds також не вдалося усунути проблеми, описані вище, перед IPO у жовтні 2018 року, а для багатьох із них — протягом місяців або років після цього. Таким чином, зловмисники змогли пізніше використати ще невиправлену вразливість VPN для доступу до внутрішніх систем SolarWinds у січні 2019 року, уникнути виявлення протягом майже двох років і врешті-решт вставити шкідливий код, що призвело до кібератаки SUNBURST».

У моїй пропозиції, якщо будь-яка компанія усуне недоліки або атаку протягом чотирьох днів, вона повинна мати можливість (а) уникнути заяви про шахрайство (тобто нема про що говорити) або (б) використовувати стандартні 10Q і 10K процесу, включно з розділом обговорення та аналізу керівництва, щоб розкрити інцидент. Можливо, це не допомогло SolarWinds. Коли компанія оприлюднила ситуацію, 8K заявила, що програмне забезпечення компанії «містить шкідливий код, який вставили загрозливі особи» без будь-яких посилань на виправлення. Тим не менш, незліченна кількість інших державних компаній, які стикаються з безкінечною битвою між зловмисниками та захисниками, безпечна гавань із відновленням дасть їм повний чотириденний термін для оцінки інциденту та реагування на нього. Потім, якщо це вирішено, знайдіть час, щоб належним чином розкрити інцидент. Інша перевага цього підходу «спочатку виправлення» полягає в тому, що більше уваги буде приділено кіберреагуванням і менший вплив на публічні акції компанії. 8K все ще можна використовувати для невирішених інцидентів кібербезпеки. 

Висновок

Незалежно від того, де ви вирішите питання про те, чи слід було SEC діяти чи ні, питання про те, як, коли та де ми розкриваємо інциденти кібербезпеки, буде важливим для всіх кіберпрофесіоналів. Зі свого боку я вважаю, що CISO має контролювати або, принаймні, затверджувати розкриття інформації компанією, коли виникають інциденти кібербезпеки. Більше того, CISO має шукати платформи, які забезпечують єдине скло, щоб «побачити це та вирішити» швидко, з якомога меншою кількістю залежностей. Якщо ми зможемо заохочувати SEC прийняти мислення про те, що перш за все виправлення, ми можемо відкрити двері для кращого розкриття інформації про кібербезпеку для всіх. 

spot_img

Остання розвідка

spot_img

Авторські права @ 2024 Plato Technologies Inc.

Зв'яжіться з нами!

Привіт! Чим я можу вам допомогти?