חיובי SEC נגד SolarWinds CISO שולח גלי הלם דרך דירוגי אבטחה

נציבות האבטחה והחילופין (SEC) האשימה את SolarWinds Corp., יחד עם CISO שלה טים בראון, בהונאה ובכשלי בקרה פנימיים הקשורים למתקפת הסייבר של שרשרת האספקה ​​ב-2020 על פלטפורמת אוריון של החברה; בסופו של דבר הוביל לפשרה של משרדי הממשלה האמריקאית על ידי המודיעין הרוסי.

ההאשמות כבר שולחות גלי הלם ברחבי קהילת CISO.

הבעייתיות, לפי ה-SEC, היא הפער בין מה שבראון לאחר השמש העובדים אמרו באופן פנימי לעומת מה שהם חשפו למשקיעים.

הודעות פנימיות חשפו כי העובדים ידעו היטב שהם מטעים לקוחות בעקבות גילוי הפגיעות של אוריון, הסבירה SEC בתלונתה.

"טוב, רק שיקרתי"

"זמן קצר לאחר התקפת אוקטובר 2020 נגד חברת אבטחת סייבר B, עובדי SolarWinds כולל בראון זיהו קווי דמיון בין המתקפה על סוכנות ממשלתית אמריקאית A", נכתב בתלונת ה-SEC. "אבל כשעובדים בחברת אבטחת סייבר B שאלו את עובדי SolarWinds אם ראו בעבר פעילות דומה, עובד InfoSec F אמר בטעות לחברת אבטחת הסייבר B שהם לא ראו. לאחר מכן הוא שלח הודעה לעמית 'טוב, פשוט שיקרתי'".

אבל הכישלון בהצבת בקרות אבטחת סייבר מתאימות ב-SolarWinds התחיל כבר ב-2018, על פי הרגולטור. ה-SEC טוענת כי בראון היה מודע, אך התעלם, מהאזהרות לגבי נקודות התורפה של החברה, כולל מצגת משנת 2018 של מהנדס SolarWinds שסימנה את מערך הגישה מרחוק של החברה כ"לא מאובטח במיוחד", והסביר ששחקן איום יכול להשתמש בו כדי " בעצם לעשות כל דבר מבלי שנזהה את זה עד שיהיה מאוחר מדי", נכתב בתיק.

בהתעלמות מהאזהרות אלו על עמדת אבטחת הסייבר של החברה ואי העלאת הנושא במעלה שרשרת הפיקוד, ה-SEC טוען כי בראון השאיר בכוונה את מערכות החברה ללא הגנה.

בראון הואשם במכירת מניות SolarWinds מנופחות

TSolarWinds הגישה גילוי לא שלם של 8-K ל-SEC בדצמבר 2020 ובראון הרוויח באופן אישי ממחיר המניה המנופח, לפי ההאשמות.

"מחיר מניית SolarWinds התנפח על ידי ההצהרות המוטעות, ההשמטות והתוכניות שנדונו בתלונה זו", אמר ה-SEC.

עוד האשימה ה-SEC את בראון במכירת מניות מנופחות של SolarWinds לפני שערכן צנח ברגע שההשפעה המלאה של הפשרה התפרסמה. בין פברואר 2020 לסוף אוגוסט 2020, בראון מכר 9,000 מניות של SolarWinds ברווח של 170,000 דולר, על פי רשומות הבורסה של ניו יורק שסיפקה ה-SEC. עד סוף דצמבר 2020, מחיר המניה של SolarWinds ירד ב-35%.

אישומים אחרים כוללים את SolarWinds שמצהירה "הצהרות שגויות ומטעות מהותית" לגבי נוהלי אבטחת הסייבר שלה על ידי הצהרה שתוכניות כמו המסגרת הלאומית של המכון הלאומי לתקנים וטכנולוגיה (NIST) היו מוקמות במלואן, כאשר למעשה הן נפרסו באופן חלקי בלבד.

SolarWinds, בראון נשבע להילחם בבית המשפט

בתגובה, SolarWinds הבטיחה מאבק בבית המשפט.

"אנו מאוכזבים מההאשמות המופרכות של ה-SEC הקשורות למתקפת סייבר רוסית על חברה אמריקאית, ומודאגים מאוד שהפעולה הזו תסכן את הביטחון הלאומי שלנו", אמר דובר SolarWinds בהצהרה שמסרה ל-Dark Reading. "הנחישות של ה-SEC להגיש תביעה נגדנו ונגד ה-CISO שלנו היא דוגמה נוספת להישג יתר של הסוכנות וצריכה להבהיל את כל החברות הציבוריות ואנשי אבטחת סייבר מחויבים ברחבי הארץ. אנו מצפים להבהיר את האמת בבית המשפט ולהמשיך לתמוך בלקוחותינו באמצעות התחייבויות Secure by Design שלנו".

עורך דינו של בראון, אלק קוך, התחייב באופן דומה להגנה נמרצת על מרשו.

"טים בראון ביצע את תחומי האחריות שלו ב-SolarWinds כסגן נשיא לאבטחת מידע ומאוחר יותר כקצין אבטחת מידע ראשי בחריצות, יושרה והצטיינות", אמר קוך בהצהרה. "אדון. בראון עבד ללא לאות ובאחריות כדי לשפר באופן מתמיד את עמדת אבטחת הסייבר של החברה לאורך כל תקופתו ב-SolarWinds, ואנו מצפים להגן על המוניטין שלו ולתקן את אי הדיוקים בתלונת ה-SEC."

CISOs Brace for Fallout

אחריות CISO הוא משהו שקהילת אבטחת הסייבר צפה מקרוב במהלך השנה האחרונה. האישומים הטריים של ה-SEC נגד בראון ו-SolarWinds באים בעקבות שופט שגזר את דינו של Uber CISO ג'ייק סאליבן לשלוש שנות מאסר על תנאי על תפקידו בחיפוי של 2016 הפרת נתונים באובר ומבטיחים עונשים מחמירים יותר בעתיד.

CISO של Amtrak, ג'סי ווילי, עדיין לא בטוח כיצד כתב האישום של SolarWinds SEC ישפיע על תפקיד CISO בצורה רחבה יותר.

"זה או ממש טוב או ממש רע", אומר וויילי. "זה יכול לעשות יותר לקידום אבטחת הסייבר מאשר עוד עשור של הפרות."

מצד שני, ווילי תוהה אם ה-SEC באמת עושה את הדבר הנכון בכך שהיא מאשימה את בראון, ומוסיף שיש לו שאלות לגבי הסיבה לכך שמנהל הכספים או היועץ הכללי של החברה לא צוינו גם בכתב האישום.

ג'סיקה סיקה, CISO ב-Weave, חוששת שהמהלך של ה-SEC להאשים פלילית את בראון ידחוף יותר אנשים מתפקיד ה-CISO.

"סביר להניח שיהיה לזה אפקט מצמרר, אותו אנו כבר רואים כאשר CISOs עוזבים את עבודתם כדי להפוך ל-CISO בשטח עבור ספקים", אומר Sica.

הבעיה החריפה יותר ויותר עבור CISOs, היא מסבירה, היא שכמעט לאף אחד אין את המשאבים הדרושים להם כדי לבצע את עבודתם.

"אני חושב שהחשש העיקרי הוא האם ה-SEC וגופים אחרים יתחילו להטיל אחריות על CISO על הפרות שקרו בגלל שהם לא מקבלים את המשאבים הדרושים להם כדי לבצע את העבודה?" שואלת סיקה.

אבל, היא מוסיפה, במונחים של גילויים, אמירת האמת היא תמיד הצעד החכם ביותר. "אל תשקר. אל תכסה, וודא שאתה מתקן את הבעיות הקריטיות ביותר שמשפיעות על העסק שלך", מייעץ Sica.

CISOs צריכים גם להיות זהירים מאוד לגבי הצהרות שהם מפרסמים בעתיד שעלולות להכיל שפה אופטימית מדי, מייעץ מומחה אבטחת הסייבר ג'ייק וויליאמס.

"ה-CISO נקלע לעתים קרובות לחתום על הצהרה המרמזת על קיומה של תוכנית מתפקדת", אומר וויליאמס. "אפילו עבדתי עם חברות ציבוריות שדנו בפומבי בתוכנית שעדיין בשלבי תכנון כאילו היא נפרסה במלואה. בקיצור, אני לא חושב שתצליח למצוא CISO לשחק במשחקי מילים כאלה".

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/attacks-breaches/sec-charges-against-solarwinds-ciso-send-shockwaves-through-security-ranks