ゼファーネットのロゴ

生成的データ インテリジェンス

サイバーセキュリティ

SECがSolarWinds CISOを告発、セキュリティランクに衝撃波を送る

プラトン再発行
プラトン再発行

日付:

閲覧数: 313

安全保障・取引委員会(SEC)は、同社のOrionプラットフォームに対する2020年のサプライチェーンサイバー攻撃に関連した詐欺と内部管理の欠陥で、SolarWinds Corp.とCISOのTim Brown氏を告発した。 最終的には、ロシア諜報機関による米国政府部門の侵害につながりました。

この告発はすでに CISO コミュニティ全体に衝撃を与えている。

SEC によれば、問題となっているのは、ブラウンと他の企業との間の矛盾である。 SolarWinds 従業員は内部で言ったことと、投資家に開示したことを主張していました。

内部メッセージによると、従業員は Orion の脆弱性の発見を受けて、顧客に誤解を与えていることをよく認識していました。 SECは訴状の中でこう説明した.

「まあ、私はただ嘘をついただけです」

「2020年XNUMX月のサイバーセキュリティ企業Bに対する攻撃の直後、ブラウンを含むソーラーウィンズの従業員は、米国政府機関Aに対する攻撃との類似点を認識した」とSECの訴状には記載されている。 「しかし、サイバーセキュリティ企業 B の担当者がソーラーウィンズの従業員に同様の活動を以前に見たことがあるかどうか尋ねたところ、情報セキュリティ企業の従業員 F はサイバーセキュリティ企業 B に「見ていない」と虚偽を伝えました。 その後、彼は同僚に『まあ、私は嘘をついただけだ』とメッセージを送りました。」

しかし規制当局によると、ソーラーウィンズ社における適切なサイバーセキュリティ管理の導入失敗は2018年に遡る。 SECは、ブラウン氏が同社の脆弱性に関する警告を認識していたが無視したと主張している。その中には、ソーラーウィンズのエンジニアによる2018年のプレゼンテーションで、同社のリモートアクセス設定が「あまり安全ではない」と警告され、脅威アクターがそれを「基本的には、手遅れになるまで私たちに気付かれずに何でもやってください」と申請書には記載されています。

同社のサイバーセキュリティ体制に関するこれらの警告を無視し、指揮系統の上層部に問題を提起しなかったことにより、ブラウン氏は意図的に社内システムを保護されないまま放置したとSECは主張している。

ブラウン氏、ソーラーウィンズの株をつり上げて販売した疑い

容疑によれば、ソーラーウィンズは8年2020月に不完全なXNUMX-K開示情報をSECに提出しており、ブラウン氏は株価のつり上げから個人的に利益を得ていたという。

「ソーラーウィンズの株価は、この訴状で議論された虚偽表示、脱漏、計画によってつり上げられた」とSECは述べた。

SECはさらにブラウン氏が、妥協の影響が全面的に明らかになる前に、ソーラーウィンズの価値が急落する前に、つり上げられたソーラーウィンズ株を売却したと非難した。 SECが提供したニューヨーク証券取引所記録によると、ブラウン氏は2020年2020月から9,000年170,000月末までの間にソーラーウィンズ株2020株を売却し、35万ドルの利益を得た。 XNUMX年XNUMX月末までに、ソーラーウィンズの株価はXNUMX%下落した。

その他の罪状には、ソーラーウィンズ社が、米国国立標準技術研究所(NIST)のフレームワークのようなプログラムが実際には部分的にしか導入されていないにもかかわらず完全に導入されていると述べ、自社のサイバーセキュリティ慣行について「重大な虚偽で誤解を招く発言」をしたことが含まれる。

ソーラーウィンズとブラウン、法廷で戦うことを誓う

これに対し、ソーラーウィンズは今後法廷闘争を行うことを約束した。

米国企業に対するロシアによるサイバー攻撃に関連したSECの根拠のない告発に我々は失望しており、この行為が我が国の国家安全保障を危険にさらすことを深く懸念している」とソーラーウィンズの広報担当者はダーク・リーディングに提供した声明の中で述べた。 「私たちとCISOに対する賠償請求をでっち上げるというSECの決意は、SECの行き過ぎの一例であり、全国のすべての上場企業と献身的なサイバーセキュリティ専門家に警告を発するはずです。 私たちは法廷で真実を明らかにし、Secure by Design の取り組みを通じてお客様をサポ​​ートし続けることを楽しみにしています。」

ブラウンの弁護士アレック・コッホも同様に、依頼人の精力的な弁護を約束した。

コッホ氏は声明で「ティム・ブラウン氏は、ソーラーウィンズ社で情報セキュリティ担当副社長として、その後最高情報セキュリティ責任者として、勤勉さ、誠実さ、優れた功績を持って職務を遂行してきた」と述べた。 "氏。 ブラウン氏は、ソーラーウィンズ時代を通じて、会社のサイバーセキュリティ体制を継続的に改善するために精力的かつ責任を持って取り組んできたので、私たちは彼の評判を守り、SECの訴状の不正確さを正すことを楽しみにしています。」

CISOはフォールアウトに備える

CISO の説明責任 サイバーセキュリティ コミュニティはこの 2016 年間、注意深く監視してきました。 ブラウン社とソーラーウィンズ社に対する新たなSECの告発は、XNUMX年の事件隠蔽事件での役割を理由に裁判官がウーバーのCISOジェイク・サリバン氏にXNUMX年間の執行猶予を言い渡した直後に行われた。 Uberでのデータ侵害 そして将来的にはより厳しい罰則を科すことを約束している。

アムトラックの CISO であるジェシー・ウェイリー氏は、ソーラーウィンズの SEC 告発が CISO の役割にさらに広範な影響を与えるかどうか、まだよくわかっていません。

「本当に良いか、本当に悪いかのどちらかです」とホエーリーは言う。 「これは、さらに XNUMX 年間の侵害よりもサイバーセキュリティの進歩に役立つ可能性があります。」

一方でホエーリー氏は、SECがブラウン氏を告発することで本当に正しいことをしているのかと疑問を抱いており、なぜ同社の最高財務責任者や法務顧問も起訴状に名指しされなかったのか疑問があると付け加えた。

Weave の CISO であるジェシカ・シカ氏は、SEC がブラウン氏を告発する動きにより、より多くの人が CISO の役割から遠ざかることになるのではないかと懸念している。

「これはおそらく萎縮効果をもたらすでしょう。CISO が仕事を辞めてベンダーの現場 CISO になるという現象がすでに見られています」と Sica 氏は言います。

CISO にとってますます深刻な問題は、職務を遂行するために必要なリソースを持っている人がほとんどいないことだと彼女は説明します。

主な懸念は、SEC やその他の組織が、CISO が職務を遂行するために必要なリソースを得られなかったことによって発生した違反の責任を追及し始めるかどうかだと思います。」 シカが尋ねる。

しかし、情報開示の観点から言えば、真実を伝えることが常に最も賢明な行動であると彼女は付け加えた。 「嘘をつかないでください。 隠蔽せず、ビジネスに影響を与える最も重大な問題を確実に解決してください」と Sica 氏はアドバイスします。

また、CISOは、過度に楽観的な表現を含む可能性のある今後発表する声明についても細心の注意を払うべきだと、サイバーセキュリティ専門家のジェイク・ウィリアムズ氏はアドバイスする。

「CISO は、機能するプログラムの存在をほのめかす声明を承認するよう迫られることがよくあります」とウィリアムズ氏は言います。 「私は上場企業と協力して、まだ計画段階にあるプログラムが完全に展開されているかのように公に議論したこともあります。 近いうちに、このような言葉遊びをするCISOは見つからなくなると思います。」

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.