اتهمت لجنة الأمن والبورصة (SEC) شركة SolarWinds Corp، جنبًا إلى جنب مع رئيس قسم تكنولوجيا المعلومات تيم براون، بالاحتيال وإخفاقات الرقابة الداخلية المتعلقة بالهجوم الإلكتروني لسلسلة التوريد لعام 2020 على منصة Orion الخاصة بالشركة؛ مما أدى في النهاية إلى اختراق الإدارات الحكومية الأمريكية من قبل المخابرات الروسية.
ترسل هذه الاتهامات بالفعل موجات صادمة في جميع أنحاء مجتمع CISO.
ما هو محل خلاف، وفقا لهيئة الأوراق المالية والبورصات، هو التناقض بين ما قاله براون وغيره سولارويندز كان الموظفون يقولون داخليًا مقابل ما كشفوه للمستثمرين.
كشفت الرسائل الداخلية أن الموظفين كانوا يدركون جيدًا أنهم كانوا يقومون بتضليل العملاء في أعقاب اكتشاف ثغرة Orion، وهي وأوضح المجلس الأعلى للتعليم في شكواها.
"حسنا، لقد كذبت للتو"
وجاء في شكوى هيئة الأوراق المالية والبورصة: "بعد فترة وجيزة من هجوم أكتوبر 2020 على شركة الأمن السيبراني "ب"، أدرك موظفو SolarWinds، بما في ذلك براون، أوجه التشابه بين الهجوم على الوكالة الحكومية الأمريكية "أ". "ولكن عندما سأل موظفو شركة الأمن السيبراني B موظفي SolarWinds عما إذا كانوا قد شاهدوا نشاطًا مماثلاً من قبل، أخبر موظف InfoSec F كذبًا شركة Cybersecurity B أنهم لم يفعلوا ذلك. ثم أرسل رسالة إلى زميله قائلاً: "حسناً، لقد كذبت للتو".
لكن الفشل في وضع ضوابط الأمن السيبراني المناسبة في شركة SolarWinds بدأ منذ عام 2018، وفقًا للهيئة التنظيمية. تزعم هيئة الأوراق المالية والبورصة أن براون كان على علم بالتحذيرات المتعلقة بنقاط الضعف في الشركة، لكنه تجاهلها، بما في ذلك العرض التقديمي لعام 2018 الذي قدمه مهندس SolarWinds والذي وضع علامة على إعداد الوصول عن بعد الخاص بالشركة على أنه "غير آمن للغاية"، وأوضح أنه يمكن لممثل التهديد استخدامه لـ " وقال التسجيل: "قم بكل شيء بشكل أساسي دون أن نكتشفه حتى فوات الأوان".
من خلال تجاهل هذه التحذيرات حول وضع الأمن السيبراني للشركة والفشل في إثارة المشكلة إلى أعلى سلسلة القيادة، تزعم لجنة الأوراق المالية والبورصات أن براون ترك أنظمة الشركة دون حماية عمدًا.
براون متهم ببيع أسهم شركة SolarWinds المتضخمة
قدمت SolarWinds إفصاحًا غير كامل عن 8-K إلى هيئة الأوراق المالية والبورصات في ديسمبر 2020، واستفاد براون شخصيًا من تضخم سعر السهم، وفقًا للتهم.
وقالت هيئة الأوراق المالية والبورصة: "لقد تضخم سعر سهم SolarWinds بسبب البيانات الخاطئة والسهو والمخططات التي تمت مناقشتها في هذه الشكوى".
كما اتهمت هيئة الأوراق المالية والبورصة براون ببيع أسهم SolarWinds المتضخمة قبل أن تنخفض قيمتها بمجرد أن يصبح التأثير الكامل للتسوية علنيًا. بين فبراير 2020 ونهاية أغسطس 2020، باع براون 9,000 سهم في SolarWinds بربح قدره 170,000 ألف دولار، وفقًا لسجلات بورصة نيويورك المقدمة من هيئة الأوراق المالية والبورصات. بحلول نهاية ديسمبر 2020، انخفض سعر سهم SolarWinds بنسبة 35%.
وتشمل الاتهامات الأخرى قيام شركة SolarWinds بتقديم "بيانات كاذبة ومضللة بشكل مادي" حول ممارسات الأمن السيبراني الخاصة بها من خلال الإشارة إلى أن برامج مثل إطار عمل المعهد الوطني للمعايير والتكنولوجيا (NIST) كانت موجودة بالكامل، في حين أنها في الواقع تم نشرها جزئيًا فقط.
SolarWinds، تعهد براون بالقتال في المحكمة
ردًا على ذلك، وعدت شركة SolarWinds بخوض معركة أمام المحكمة.
"قال متحدث باسم SolarWinds، في بيان مقدم إلى Dark Reading: "نشعر بخيبة أمل إزاء الاتهامات التي لا أساس لها من قبل هيئة الأوراق المالية والبورصة والمتعلقة بهجوم إلكتروني روسي على شركة أمريكية ونشعر بقلق عميق من أن هذا الإجراء سيعرض أمننا القومي للخطر". "إن تصميم هيئة الأوراق المالية والبورصة على تقديم مطالبة ضدنا وضد رئيس أمن المعلومات لدينا هو مثال آخر على تجاوز الوكالة ويجب أن يثير قلق جميع الشركات العامة والمتخصصين الملتزمين في مجال الأمن السيبراني في جميع أنحاء البلاد. ونحن نتطلع إلى توضيح الحقيقة في المحكمة ومواصلة دعم عملائنا من خلال التزاماتنا بالتصميم الآمن."
وبالمثل، تعهد محامي براون، أليك كوخ، بالدفاع بقوة عن موكله.
وقال كوخ في بيان: "لقد أدى تيم براون مسؤولياته في SolarWinds كنائب رئيس لأمن المعلومات ثم كرئيس لأمن المعلومات فيما بعد باجتهاد ونزاهة وتميز". "السيد. لقد عمل براون بلا كلل وبمسؤولية من أجل التحسين المستمر لوضع الأمن السيبراني للشركة طوال فترة وجوده في SolarWinds، ونحن نتطلع إلى الدفاع عن سمعته وتصحيح الأخطاء في شكوى لجنة الأوراق المالية والبورصة."
CISOs يستعدون للتداعيات
مساءلة CISO وهو شيء كان مجتمع الأمن السيبراني يراقبه عن كثب خلال العام الماضي. تأتي اتهامات هيئة الأوراق المالية والبورصة الجديدة ضد Brown وSolarWinds في أعقاب حكم القاضي على Uber CISO Jake Sullivan بالسجن لمدة ثلاث سنوات لدوره في التستر على 2016 اختراق البيانات في أوبر وتوعد بعقوبات أشد في المستقبل.
Amtrak CISO Jesse Whaley ليس متأكدًا تمامًا من كيفية تأثير لائحة اتهام SolarWinds SEC على دور CISO على نطاق أوسع، حتى الآن.
يقول والي: "إنها إما جيدة جدًا أو سيئة للغاية". "وهذا يمكن أن يفعل المزيد لتعزيز الأمن السيبراني أكثر من عقد آخر من الانتهاكات."
من ناحية أخرى، يتساءل والي عما إذا كانت لجنة الأوراق المالية والبورصة تفعل الشيء الصحيح حقًا من خلال توجيه الاتهام إلى براون، مضيفًا أن لديه أسئلة حول سبب عدم ذكر المدير المالي للشركة أو المستشار العام أيضًا في لائحة الاتهام.
تشعر جيسيكا سيكا، كبيرة مسؤولي تكنولوجيا المعلومات في شركة Weave، بالقلق من أن الخطوة التي اتخذتها لجنة الأوراق المالية والبورصة لتوجيه الاتهام إلى براون ستدفع المزيد من الأشخاص بعيدًا عن دور رئيس أمناء المعلومات.
يقول سيكا: "من المحتمل أن يكون لهذا تأثير سلبي، وهو ما نشهده بالفعل مع ترك كبار مسؤولي تكنولوجيا المعلومات وظائفهم ليصبحوا مدراء أمن معلومات ميدانيين للبائعين".
وتوضح أن المشكلة المتزايدة الحدة التي يواجهها كبار مسؤولي أمن المعلومات هي أنه لا أحد تقريبًا لديه الموارد التي يحتاجها للقيام بعمله.
"أعتقد أن مصدر القلق الرئيسي هو هل ستبدأ هيئة الأوراق المالية والبورصة والكيانات الأخرى في مساءلة كبار مسؤولي أمن المعلومات عن الانتهاكات التي حدثت بسبب عدم حصولهم على الموارد التي يحتاجونها للقيام بهذه المهمة؟ يسأل سيكا.
لكنها تضيف أنه فيما يتعلق بالإفصاح، فإن قول الحقيقة هو دائمًا الخطوة الأكثر ذكاءً. "لا تكذب. "لا تتستر، وتأكد من أنك تقوم بمعالجة المشكلات الأكثر أهمية التي تؤثر على عملك،" ينصح سيكا.
ويجب على مدراء أمن المعلومات أيضًا توخي الحذر الشديد بشأن البيانات التي يصدرونها في المستقبل والتي قد تحتوي على لغة مفرطة في التفاؤل، كما ينصح خبير الأمن السيبراني جيك ويليامز.
يقول ويليامز: "غالبًا ما يُجبر كبير مسؤولي أمن المعلومات على التوقيع على بيان يشير ضمنًا إلى وجود برنامج فعال". "لقد عملت حتى مع شركات مساهمة عامة في مناقشة علنية لبرنامج لا يزال في مراحل التخطيط كما لو تم نشره بالكامل. وفي وقت قصير، لا أعتقد أنك ستتمكن من العثور على رئيس أمناء أمن المعلومات (CISO) لممارسة ألعاب الكلمات مثل هذه.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/attacks-breaches/sec-charges-against-solarwinds-ciso-send-shockwaves-through-security-ranks
