Zephyrnet-Logo

Generative Datenintelligenz

Cybersicherheit

SEC-Anklagen gegen den CISO von SolarWinds lösen Schockwellen in den Sicherheitsabteilungen aus

Neuauflage von Plato
Neuauflage von Plato

Datum:

Views: 313

Die Security and Exchange Commission (SEC) hat SolarWinds Corp. zusammen mit ihrem CISO Tim Brown wegen Betrugs und interner Kontrollfehler im Zusammenhang mit dem Cyberangriff auf die Lieferkette im Jahr 2020 auf die Orion-Plattform des Unternehmens angeklagt; Dies führte letztendlich zur Kompromittierung der US-Regierungsbehörden durch den russischen Geheimdienst.

Die Vorwürfe lösen bereits Schockwellen in der gesamten CISO-Community aus.

Laut SEC geht es um die Diskrepanz zwischen Brown und anderen SolarWinds Mitarbeiter sagten intern im Vergleich zu dem, was sie den Anlegern mitteilten.

Aus internen Nachrichten ging hervor, dass sich die Mitarbeiter nach der Entdeckung der Orion-Sicherheitslücke durchaus bewusst waren, dass sie Kunden in die Irre führten erklärte die SEC in ihrer Beschwerde.

„Nun, ich habe nur gelogen“

„Kurz nach dem Angriff auf das Cybersicherheitsunternehmen B im Oktober 2020 erkannten Mitarbeiter von SolarWinds, darunter auch Brown, Ähnlichkeiten zwischen dem Angriff auf die US-Regierungsbehörde A“, heißt es in der SEC-Beschwerde. „Aber als Mitarbeiter des Cybersicherheitsunternehmens B die Mitarbeiter von SolarWinds fragten, ob sie bereits zuvor ähnliche Aktivitäten gesehen hätten, antwortete InfoSec-Mitarbeiter F fälschlicherweise, dass dies nicht der Fall sei. Dann schrieb er einem Kollegen eine Nachricht: „Nun, ich habe nur gelogen.“

Doch das Versäumnis, bei SolarWinds angemessene Cybersicherheitskontrollen einzurichten, begann nach Angaben der Regulierungsbehörde bereits im Jahr 2018. Die SEC behauptet, Brown sei sich der Warnungen vor den Schwachstellen des Unternehmens bewusst gewesen, habe diese jedoch ignoriert, darunter eine Präsentation eines SolarWinds-Ingenieurs aus dem Jahr 2018, in der die Fernzugriffseinrichtung des Unternehmens als „nicht sehr sicher“ gekennzeichnet und erklärt wurde, dass ein Bedrohungsakteur sie nutzen könnte, um „ „Im Grunde alles tun, ohne dass wir es bemerken, bis es zu spät ist“, heißt es in der Akte.

Durch das Ignorieren dieser Warnungen über die Cybersicherheitslage des Unternehmens und das Versäumnis, das Problem in der Befehlskette zur Sprache zu bringen, wirft die SEC Brown vor, die Unternehmenssysteme vorsätzlich ungeschützt gelassen zu haben.

Brown wird beschuldigt, überhöhte SolarWinds-Aktien verkauft zu haben

SolarWinds reichte im Dezember 8 eine unvollständige 2020-K-Offenlegung bei der SEC ein und Brown profitierte den Vorwürfen zufolge persönlich von dem überhöhten Aktienkurs.

„Der Aktienkurs von SolarWinds wurde durch die in dieser Beschwerde besprochenen falschen Angaben, Auslassungen und Machenschaften in die Höhe getrieben“, sagte die SEC.

Die SEC warf Brown außerdem vor, überhöhte SolarWinds-Aktien verkauft zu haben, bevor deren Wert einbrach, als die vollen Auswirkungen des Kompromisses öffentlich wurden. Zwischen Februar 2020 und Ende August 2020 verkaufte Brown laut New York Stock Exchange Records der SEC 9,000 Aktien von SolarWinds mit einem Gewinn von 170,000 US-Dollar. Bis Ende Dezember 2020 fiel der Aktienkurs von SolarWinds um 35 %.

Zu den weiteren Vorwürfen gehört, dass SolarWinds „wesentlich falsche und irreführende Aussagen“ über seine Cybersicherheitspraktiken gemacht hat, indem es behauptete, Programme wie das Rahmenwerk des National Institute of Standards and Technology (NIST) seien vollständig vorhanden, obwohl sie in Wirklichkeit nur teilweise implementiert wurden.

SolarWinds und Brown geloben, vor Gericht zu kämpfen

Als Reaktion darauf versprach SolarWinds einen bevorstehenden Rechtsstreit.

"„Wir sind enttäuscht über die unbegründeten Anschuldigungen der SEC im Zusammenhang mit einem russischen Cyberangriff auf ein amerikanisches Unternehmen und sind zutiefst besorgt, dass diese Aktion unsere nationale Sicherheit gefährden wird“, sagte ein SolarWinds-Sprecher in einer Erklärung gegenüber Dark Reading. „Die Entschlossenheit der SEC, eine Klage gegen uns und unseren CISO zu erheben, ist ein weiteres Beispiel für die Übergriffe der Behörde und sollte alle öffentlichen Unternehmen und engagierten Cybersicherheitsexperten im ganzen Land alarmieren. Wir freuen uns darauf, die Wahrheit vor Gericht zu klären und unsere Kunden weiterhin durch unsere Secure by Design-Verpflichtungen zu unterstützen.“

Browns Anwalt Alec Koch versprach ebenfalls eine energische Verteidigung seines Mandanten.

„Tim Brown hat seine Aufgaben bei SolarWinds als Vizepräsident für Informationssicherheit und später als Chief Information Security Officer mit Sorgfalt, Integrität und Auszeichnung wahrgenommen“, sagte Koch in einer Erklärung. "Herr. Brown hat während seiner Zeit bei SolarWinds unermüdlich und verantwortungsbewusst daran gearbeitet, die Cybersicherheitslage des Unternehmens kontinuierlich zu verbessern, und wir freuen uns darauf, seinen Ruf zu verteidigen und die Ungenauigkeiten in der SEC-Beschwerde zu korrigieren.“

CISOs bereiten sich auf Fallout vor

CISO-Verantwortung ist etwas, was die Cybersicherheits-Community im vergangenen Jahr genau beobachtet hat. Die neuen SEC-Anklagen gegen Brown und SolarWinds folgen auf die Verurteilung von Uber-CISO Jake Sullivan durch einen Richter zu drei Jahren auf Bewährung wegen seiner Rolle bei der Vertuschung eines Unternehmens aus dem Jahr 2016 Datenschutzverstoß bei Uber und verspricht künftig härtere Strafen.

Amtrak-CISO Jesse Whaley ist sich noch nicht ganz sicher, wie sich die Anklage gegen SolarWinds SEC auf die Rolle des CISO im weiteren Sinne auswirken wird.

„Es ist entweder wirklich gut oder wirklich schlecht“, sagt Whaley. „Dies könnte mehr zur Verbesserung der Cybersicherheit beitragen als ein weiteres Jahrzehnt voller Verstöße.“

Andererseits fragt sich Whaley, ob die SEC wirklich das Richtige tut, indem sie Brown anklagt, und fügt hinzu, er habe Fragen dazu, warum der Finanzvorstand oder der General Counsel des Unternehmens in der Anklage nicht ebenfalls genannt wurden.

Jessica Sica, CISO bei Weave, befürchtet, dass der Schritt der SEC, Brown anzuklagen, mehr Menschen von der CISO-Rolle verdrängen wird.

„Es wird wahrscheinlich einen abschreckenden Effekt haben, den wir bereits beobachten, wenn CISOs ihren Job aufgeben, um Außendienst-CISOs für Anbieter zu werden“, sagt Sica.

Das immer akutere Problem für CISOs sei, erklärt sie, dass fast keiner über die Ressourcen verfüge, die er für seine Arbeit brauche.

"Ich denke, die Hauptsorge besteht darin, dass die SEC und andere Unternehmen beginnen werden, CISOs für Verstöße zur Rechenschaft zu ziehen, die dadurch verursacht wurden, dass ihnen nicht die Ressourcen zur Verfügung standen, die sie für ihre Arbeit benötigen?“ Sica fragt.

Sie fügt jedoch hinzu, dass es im Hinblick auf Offenlegungen immer der klügste Schachzug sei, die Wahrheit zu sagen. „Lüge nicht. Vertuschen Sie nichts und stellen Sie sicher, dass Sie die kritischsten Probleme beheben, die sich auf Ihr Unternehmen auswirken“, rät Sica.

CISOs sollten auch sehr vorsichtig sein, wenn es um Aussagen geht, die sie in Zukunft veröffentlichen und die möglicherweise eine zu optimistische Sprache enthalten, rät der Cybersicherheitsexperte Jake Williams.

„Der CISO lässt sich oft dazu verleiten, eine Erklärung zu unterzeichnen, die die Existenz eines funktionierenden Programms andeutet“, sagt Williams. „Ich habe sogar mit börsennotierten Unternehmen zusammengearbeitet und ein Programm, das sich noch in der Planungsphase befand, öffentlich diskutiert, als wäre es vollständig umgesetzt. Kurz gesagt, ich glaube nicht, dass Sie einen CISO finden werden, der solche Wortspiele spielt.“

spot_img

Neueste Intelligenz

spot_img

Copyright @ 2024 Plato Technologies Inc.