评论
在 以前的文章,我介绍了美国证券交易委员会 (SEC) SolarWinds 的起诉书和四天规则对 DevSecOps 的影响。今天,让我们问一个不同的问题:网络信息泄露将何去何从?
在加入网络安全行业之前,我是一名证券律师。我花了很多时间了解 SEC 规则,并定期与 SEC 合作。本文不是法律建议。这是来自对 SEC 非常熟悉(尽管还很遥远)的人提出的实用建议。
SEC 起诉书简述
30 年 2023 月 XNUMX 日, 美国证券交易委员会 (SEC) 提起诉讼 针对 SolarWinds 及其首席信息安全官,指控“欺诈和内部控制失误”以及“隐瞒公司不良网络安全实践及其日益加剧的网络安全风险的错误陈述、遗漏和计划”,包括实际情况的影响攻击其系统和客户。
抛开“应该”的问题
我想先把 SEC 是否应该采取行动放在一边。关于这个话题已经有很多声音了。一些人认为 SolarWinds 的公开网络安全声明只是出于愿望,而非事实。其他人则认为 CISO 不应该成为目标,因为他的部门无法提供所需的防御。他依靠其他人来做到这一点。最后,为支持 SolarWinds 及其 CISO 提交的非当事人意见陈述认为,该案将有一个 对 CISO 职位招聘和保留的寒蝉效应、内部沟通、改善网络安全的努力等等。
网络披露问题
美国证券交易委员会在投诉开始时指出,该公司于 2018 年 XNUMX 月提交了 IPO 注册声明。该文件包含样板文件和假设的网络安全风险因素披露。同月,美国证券交易委员会的投诉中写道,“布朗在一份内部报告中写道,SolarWinds”当前的安全状况使我们的关键资产处于非常脆弱的状态。'”
这种差异非常大,美国证券交易委员会表示,情况只会变得更糟。尽管 SolarWinds 员工和高管知道随着时间的推移,针对 SolarWinds 产品的风险、漏洞和攻击不断增加,但“SolarWinds 的网络安全风险披露并未以任何方式披露这些内容。”为了说明这一点,美国证券交易委员会列出了 IPO 后向美国证券交易委员会公开的所有文件,其中包括相同的、未更改的、假设性的网络安全风险披露样板。
套用 SEC 的投诉:“即使本投诉中讨论的一些个人风险和事件并未达到要求自行披露的水平……但总的来说,它们造成了更大的风险……”以至于 SolarWinds 的披露变得“具有重大误导性” ”。更糟糕的是,根据 SEC 的说法,即使危险信号不断堆积,SolarWinds 仍重复了通用样板信息披露。
作为一名证券律师,您首先要了解的事情之一是,公司向 SEC 提交的文件中的披露、风险因素和风险因素的变化非常重要。投资者和证券分析师使用它们来评估和建议股票买卖。我很惊讶地在一份非当事人意见陈述中读到“CISO 通常不负责起草或批准”公开披露。也许他们应该是。
提出补救安全港
我想提出一些不同的建议:网络安全风险和事件的补救安全港。 SEC 并非对补救问题视而不见。对此,它表示:
“SolarWinds 在 2018 年 2019 月首次公开募股之前也未能解决上述问题,其中许多问题在其后数月或数年内都未能解决。因此,威胁行为者后来能够在 XNUMX 年 XNUMX 月利用仍未修复的 VPN 漏洞访问 SolarWinds 的内部系统,在近两年内避免检测,并最终插入恶意代码,导致 SUNBURST 网络攻击。”
在我的建议中,如果任何公司在四天的时间范围内纠正缺陷或攻击,它应该能够(a)避免欺诈索赔(即无话可说)或(b)使用标准 10Q 和 10K流程,包括管理层讨论与分析部分,以披露该事件。这可能对 SolarWinds 没有帮助。 8K 在披露这一情况时表示,该公司的软件“包含由威胁行为者插入的恶意代码”,但没有提及任何补救措施。尽管如此,对于无数其他面临攻击者和防御者之间永无止境的战斗的上市公司来说,补救安全港将使他们有整整四天的时间来评估和响应事件。然后,如果已采取补救措施,请花时间适当地披露该事件。这种“补救优先”方法的另一个好处是,将更加重视网络响应,并减少对公司公开股票的影响。 8K 仍可用于解决未解决的网络安全事件。
结论
无论您对 SEC 是否应该采取行动的问题持何种态度,我们如何、何时、何地披露网络安全事件的问题对于所有网络专业人士来说都将是一个重大问题。就我而言,我认为 CISO 应该在网络安全事件发生时控制或至少批准公司的披露。更重要的是,CISO 应该寻找能够提供单一管理平台的平台,以便快速“查看并解决问题”,并尽可能减少依赖性。如果我们能够鼓励 SEC 采取补救第一的心态,我们可能会为每个人更好地披露网络安全信息打开大门。
