נציבות האבטחה והחילופין (SEC) האשימה את SolarWinds Corp., יחד עם CISO שלה טים בראון, בהונאה ובכשלי בקרה פנימיים הקשורים למתקפת הסייבר של שרשרת האספקה ב-2020 על פלטפורמת אוריון של החברה; בסופו של דבר הוביל לפשרה של משרדי הממשלה האמריקאית על ידי המודיעין הרוסי.
ההאשמות כבר שולחות גלי הלם ברחבי קהילת CISO.
הבעייתיות, לפי ה-SEC, היא הפער בין מה שבראון לאחר השמש העובדים אמרו באופן פנימי לעומת מה שהם חשפו למשקיעים.
הודעות פנימיות חשפו כי העובדים ידעו היטב שהם מטעים לקוחות בעקבות גילוי הפגיעות של אוריון, הסבירה SEC בתלונתה.
"טוב, רק שיקרתי"
"זמן קצר לאחר התקפת אוקטובר 2020 נגד חברת אבטחת סייבר B, עובדי SolarWinds כולל בראון זיהו קווי דמיון בין המתקפה על סוכנות ממשלתית אמריקאית A", נכתב בתלונת ה-SEC. "אבל כשעובדים בחברת אבטחת סייבר B שאלו את עובדי SolarWinds אם ראו בעבר פעילות דומה, עובד InfoSec F אמר בטעות לחברת אבטחת הסייבר B שהם לא ראו. לאחר מכן הוא שלח הודעה לעמית 'טוב, פשוט שיקרתי'".
אבל הכישלון בהצבת בקרות אבטחת סייבר מתאימות ב-SolarWinds התחיל כבר ב-2018, על פי הרגולטור. ה-SEC טוענת כי בראון היה מודע, אך התעלם, מהאזהרות לגבי נקודות התורפה של החברה, כולל מצגת משנת 2018 של מהנדס SolarWinds שסימנה את מערך הגישה מרחוק של החברה כ"לא מאובטח במיוחד", והסביר ששחקן איום יכול להשתמש בו כדי " בעצם לעשות כל דבר מבלי שנזהה את זה עד שיהיה מאוחר מדי", נכתב בתיק.
בהתעלמות מהאזהרות אלו על עמדת אבטחת הסייבר של החברה ואי העלאת הנושא במעלה שרשרת הפיקוד, ה-SEC טוען כי בראון השאיר בכוונה את מערכות החברה ללא הגנה.
בראון הואשם במכירת מניות SolarWinds מנופחות
TSolarWinds הגישה גילוי לא שלם של 8-K ל-SEC בדצמבר 2020 ובראון הרוויח באופן אישי ממחיר המניה המנופח, לפי ההאשמות.
"מחיר מניית SolarWinds התנפח על ידי ההצהרות המוטעות, ההשמטות והתוכניות שנדונו בתלונה זו", אמר ה-SEC.
עוד האשימה ה-SEC את בראון במכירת מניות מנופחות של SolarWinds לפני שערכן צנח ברגע שההשפעה המלאה של הפשרה התפרסמה. בין פברואר 2020 לסוף אוגוסט 2020, בראון מכר 9,000 מניות של SolarWinds ברווח של 170,000 דולר, על פי רשומות הבורסה של ניו יורק שסיפקה ה-SEC. עד סוף דצמבר 2020, מחיר המניה של SolarWinds ירד ב-35%.
אישומים אחרים כוללים את SolarWinds שמצהירה "הצהרות שגויות ומטעות מהותית" לגבי נוהלי אבטחת הסייבר שלה על ידי הצהרה שתוכניות כמו המסגרת הלאומית של המכון הלאומי לתקנים וטכנולוגיה (NIST) היו מוקמות במלואן, כאשר למעשה הן נפרסו באופן חלקי בלבד.
SolarWinds, בראון נשבע להילחם בבית המשפט
בתגובה, SolarWinds הבטיחה מאבק בבית המשפט.
"אנו מאוכזבים מההאשמות המופרכות של ה-SEC הקשורות למתקפת סייבר רוסית על חברה אמריקאית, ומודאגים מאוד שהפעולה הזו תסכן את הביטחון הלאומי שלנו", אמר דובר SolarWinds בהצהרה שמסרה ל-Dark Reading. "הנחישות של ה-SEC להגיש תביעה נגדנו ונגד ה-CISO שלנו היא דוגמה נוספת להישג יתר של הסוכנות וצריכה להבהיל את כל החברות הציבוריות ואנשי אבטחת סייבר מחויבים ברחבי הארץ. אנו מצפים להבהיר את האמת בבית המשפט ולהמשיך לתמוך בלקוחותינו באמצעות התחייבויות Secure by Design שלנו".
עורך דינו של בראון, אלק קוך, התחייב באופן דומה להגנה נמרצת על מרשו.
"טים בראון ביצע את תחומי האחריות שלו ב-SolarWinds כסגן נשיא לאבטחת מידע ומאוחר יותר כקצין אבטחת מידע ראשי בחריצות, יושרה והצטיינות", אמר קוך בהצהרה. "אדון. בראון עבד ללא לאות ובאחריות כדי לשפר באופן מתמיד את עמדת אבטחת הסייבר של החברה לאורך כל תקופתו ב-SolarWinds, ואנו מצפים להגן על המוניטין שלו ולתקן את אי הדיוקים בתלונת ה-SEC."
CISOs Brace for Fallout
אחריות CISO הוא משהו שקהילת אבטחת הסייבר צפה מקרוב במהלך השנה האחרונה. האישומים הטריים של ה-SEC נגד בראון ו-SolarWinds באים בעקבות שופט שגזר את דינו של Uber CISO ג'ייק סאליבן לשלוש שנות מאסר על תנאי על תפקידו בחיפוי של 2016 הפרת נתונים באובר ומבטיחים עונשים מחמירים יותר בעתיד.
CISO של Amtrak, ג'סי ווילי, עדיין לא בטוח כיצד כתב האישום של SolarWinds SEC ישפיע על תפקיד CISO בצורה רחבה יותר.
"זה או ממש טוב או ממש רע", אומר וויילי. "זה יכול לעשות יותר לקידום אבטחת הסייבר מאשר עוד עשור של הפרות."
מצד שני, ווילי תוהה אם ה-SEC באמת עושה את הדבר הנכון בכך שהיא מאשימה את בראון, ומוסיף שיש לו שאלות לגבי הסיבה לכך שמנהל הכספים או היועץ הכללי של החברה לא צוינו גם בכתב האישום.
ג'סיקה סיקה, CISO ב-Weave, חוששת שהמהלך של ה-SEC להאשים פלילית את בראון ידחוף יותר אנשים מתפקיד ה-CISO.
"סביר להניח שיהיה לזה אפקט מצמרר, אותו אנו כבר רואים כאשר CISOs עוזבים את עבודתם כדי להפוך ל-CISO בשטח עבור ספקים", אומר Sica.
הבעיה החריפה יותר ויותר עבור CISOs, היא מסבירה, היא שכמעט לאף אחד אין את המשאבים הדרושים להם כדי לבצע את עבודתם.
"אני חושב שהחשש העיקרי הוא האם ה-SEC וגופים אחרים יתחילו להטיל אחריות על CISO על הפרות שקרו בגלל שהם לא מקבלים את המשאבים הדרושים להם כדי לבצע את העבודה?" שואלת סיקה.
אבל, היא מוסיפה, במונחים של גילויים, אמירת האמת היא תמיד הצעד החכם ביותר. "אל תשקר. אל תכסה, וודא שאתה מתקן את הבעיות הקריטיות ביותר שמשפיעות על העסק שלך", מייעץ Sica.
CISOs צריכים גם להיות זהירים מאוד לגבי הצהרות שהם מפרסמים בעתיד שעלולות להכיל שפה אופטימית מדי, מייעץ מומחה אבטחת הסייבר ג'ייק וויליאמס.
"ה-CISO נקלע לעתים קרובות לחתום על הצהרה המרמזת על קיומה של תוכנית מתפקדת", אומר וויליאמס. "אפילו עבדתי עם חברות ציבוריות שדנו בפומבי בתוכנית שעדיין בשלבי תכנון כאילו היא נפרסה במלואה. בקיצור, אני לא חושב שתצליח למצוא CISO לשחק במשחקי מילים כאלה".
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/attacks-breaches/sec-charges-against-solarwinds-ciso-send-shockwaves-through-security-ranks
- :יש ל
- :הוא
- :לֹא
- $ למעלה
- 000
- 2016
- 2018
- 2020
- 35%
- 7
- 9
- a
- יכול
- אודות
- גישה
- פי
- אחראי
- מואשם
- לרוחב
- פעולה
- פעילות
- מוסיף
- מוסיף
- לקדם
- להשפיע על
- לאחר
- נגד
- סוכנות
- קדימה
- אזעקה
- תעשיות
- כמעט
- לאורך
- כְּבָר
- גם
- תמיד
- אֲמֶרִיקָאִי
- an
- ו
- אחר
- מתאים
- ARE
- AS
- At
- לתקוף
- עו"ד
- אוגוסט
- מודע
- רָחוֹק
- בחזרה
- רע
- בעיקרון
- BE
- הפך
- להיות
- היה
- לפני
- בֵּין
- הפרה
- פרות
- בְּהַרְחָבָה
- חום
- עסקים
- אבל
- by
- זהיר
- שרשרת
- תשלום
- טעון
- חיובים
- טְעִינָה
- רֹאשׁ
- קצין אבטחת מידע ראשי
- CISO
- לטעון
- לקוחות
- מקרוב
- עמית
- איך
- עמלה
- התחייבויות
- מְחוּיָב
- קהילה
- חברות
- חברה
- תלונה
- פשרה
- דְאָגָה
- מודאג
- להכיל
- ממשיך
- ברציפות
- לִשְׁלוֹט
- בקרות
- גוף
- יכול
- עֵצָה
- מדינה
- בית דין
- לכסות
- קריטי
- לקוחות
- התקפת סייבר
- אבטחת סייבר
- כהה
- קריאה אפלה
- עָשׂוֹר
- דֵצֶמבֶּר
- הגנה
- גופי בטחון
- מחלקות
- פרס
- עיצוב
- נחישות
- חָרִיצוּת
- חשיפה
- תגלית
- אי התאמה
- נָדוֹן
- דנים
- הבחנה
- do
- עושה
- דון
- ירד
- השפעה
- או
- עובד
- עובדים
- סוף
- מהנדס
- ישויות
- אֲפִילוּ
- דוגמה
- חליפין
- קיום
- מומחה
- מוסבר
- מסביר
- עובדה
- אי
- כשלון
- שקר
- רחוק
- פבואר
- פבואר 2020
- שדה
- להלחם
- הוגש
- תיוק
- כספי
- פירמה
- מסומן
- בעד
- קדימה
- מסגרת
- הונאה
- טרי
- החל מ-
- מלא
- לגמרי
- תִפקוּד
- נוסף
- עתיד
- משחקים
- כללי
- מקבל
- טוב
- ממשלה
- היה
- יד
- קרה
- קשה יותר
- יש
- he
- שֶׁלוֹ
- מחזיק
- איך
- HTTPS
- i
- if
- פְּגִיעָה
- לשפר
- in
- לכלול
- כולל
- יותר ויותר
- כתב האישום
- מידע
- אבטחת מידע
- INFOSEC
- מכון
- שלמות
- מוֹדִיעִין
- פנימי
- כלפי פנים
- אל תוך
- משקיעים
- J States
- סוגיה
- בעיות
- IT
- שֶׁלָה
- עבודה
- מקומות תעסוקה
- jpg
- שופט
- רק
- קוך
- שפה
- מְאוּחָר
- מאוחר יותר
- מוביל
- עזיבה
- עזבו
- שקר
- כמו
- סביר
- ll
- נראה
- ראשי
- לעשות
- עשייה
- מבחינה חומרית
- הודעות
- יכול
- מַטעֶה
- יותר
- רוב
- המהלך
- mr
- מר בראון
- שם
- לאומי
- ביטחון לאומי
- צורך
- חדש
- ניו יורק
- בבורסת ניו יורק
- ניסט
- ללא חתימה
- אוֹקְטוֹבֶּר
- of
- כבוי
- קָצִין
- לעתים קרובות
- on
- פעם
- רק
- אופטימי
- or
- להזמין
- אחר
- שלנו
- יותר
- להגיע יתר
- עבר
- אֲנָשִׁים
- ביצעתי
- אישית
- כוח אדם
- מקום
- תכנון
- פלטפורמה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- לְשַׂחֵק
- פרקטיקות
- הצגה
- נשיא
- קוֹדֶם
- מחיר
- בעיה
- אנשי מקצוע
- להרוויח
- הרוויחו
- תָכְנִית
- תוכניות
- מוּבטָח
- מבטיח
- ובלבד
- ציבורי
- חברות ציבוריות
- בפומבי
- דחוף
- גם
- שאלות
- דַי
- להעלות
- דרגות
- RE
- קריאה
- בֶּאֱמֶת
- מוכר
- רשום
- וסת
- קָשׁוּר
- מרחוק
- גישה מרחוק
- מוניטין
- משאבים
- תגובה
- אחריות
- גילה
- תקין
- הסיכון
- תפקיד
- רוסי
- s
- אמר
- אמר
- אומר
- תוכניות
- ה-SEC
- חיובי SEC
- לבטח
- אבטחה
- ראות
- לראות
- מכירת
- לשלוח
- שליחה
- התקנה
- שיתופים
- היא
- קצר
- בקצרה
- צריך
- חתימה
- דומה
- הדמיון
- באופן דומה
- הכי חכם
- השמש
- נמכרים
- משהו
- דובר
- שלבים
- תקנים
- התחלה
- החל
- הצהרה
- הצהרות
- לפי
- עוד
- מניות
- בּוּרסָה
- מניות
- סאליבן
- לספק
- שרשרת אספקה
- תמיכה
- בטוח
- מערכות
- טכנולוגיה
- אומר לי
- מונחים
- מֵאֲשֶׁר
- זֶה
- השמיים
- העתיד
- שֶׁלָהֶם
- אותם
- אז
- אלה
- הֵם
- דבר
- לחשוב
- זֶה
- איום
- שְׁלוֹשָׁה
- דרך
- בכל
- טים
- זמן
- ללא לאות
- ל
- אמר לי
- גַם
- נסחר
- אמת
- לָנוּ
- ממשלת ארה"ב
- סופר
- בסופו של דבר
- עד
- us
- ממשלת ארצות הברית
- להשתמש
- ערך
- Ve
- ספקים
- נגד
- מאוד
- סְגָן
- סגן הנשיא
- פגיעויות
- פגיעות
- שרות
- היה
- צופה
- we
- מארג
- טוֹב
- היו
- היו
- מה
- כלשהו
- מתי
- אשר
- למה
- יצטרך
- וויליאמס
- עם
- לְלֹא
- Word
- עבד
- שנה
- שנים
- עוד
- york
- אתה
- זפירנט