제퍼넷 로고

생성 데이터 인텔리전스

사이버 보안

SolarWinds에 대한 SEC 기소 CISO, 보안 등급을 통해 충격파 보내기

플라톤에 의해 재발행
플라톤에 의해 재발행

시간

조회 수 : 313

보안거래위원회(SEC)는 회사의 Orion 플랫폼에 대한 2020년 공급망 사이버 공격과 관련된 사기 및 내부 통제 실패 혐의로 SolarWinds Corp.와 CISO Tim Brown을 기소했습니다. 궁극적으로 러시아 정보부에 의해 미국 정부 부서가 타협하게 됩니다.

이 혐의는 이미 CISO 커뮤니티 전체에 충격파를 보내고 있습니다.

SEC에 따르면 문제는 Brown과 다른 회사 사이의 불일치입니다. SolarWinds 직원들은 투자자들에게 공개한 내용과 내부적으로 말하고 있었습니다.

내부 메시지에 따르면 직원들은 Orion 취약점이 발견된 이후 고객을 오도하고 있다는 사실을 잘 알고 있었습니다. SEC는 고소장에서 설명했습니다..

“글쎄, 난 그냥 거짓말을 했어”

SEC 고소장은 "2020년 XNUMX월 사이버 보안 회사 B에 대한 공격 직후 브라운을 포함한 SolarWinds 직원은 미국 정부 기관 A에 대한 공격 사이의 유사점을 인식했습니다"라고 밝혔습니다. “그러나 사이버 보안 회사 B의 직원이 SolarWinds 직원에게 이전에 비슷한 활동을 본 적이 있는지 물었을 때 InfoSec 직원 F는 사이버 보안 회사 B에게 그런 적이 없다고 거짓으로 말했습니다. 그런 다음 그는 동료에게 '그냥 거짓말을 했어요'라고 메시지를 보냈습니다.”

그러나 규제 기관에 따르면 SolarWinds에서 적절한 사이버 보안 통제 장치를 마련하지 못한 것은 2018년부터 시작되었습니다. SEC는 브라운이 회사의 원격 액세스 설정을 "별로 안전하지 않다"고 표시한 SolarWinds 엔지니어의 2018년 프레젠테이션을 포함하여 회사의 취약점에 대한 경고를 알고 있었지만 무시했다고 주장하며 위협 행위자가 이를 다음과 같은 목적으로 사용할 수 있다고 설명했습니다. 기본적으로 너무 늦을 때까지 우리가 감지하지 않고 무엇이든 할 수 있습니다.”라고 서류는 말했습니다.

SEC는 회사의 사이버 보안 태세에 대한 이러한 경고를 무시하고 명령 체계에 문제를 제기하지 않음으로써 브라운이 의도적으로 회사 시스템을 보호하지 않은 상태로 두었다고 주장합니다.

브라운, 부풀려진 SolarWinds 주식 매도 혐의로 기소

혐의에 따르면 SolarWinds는 8년 2020월 SEC에 불완전한 XNUMX-K 공개를 제출했으며 Brown은 부풀려진 주가로 인해 개인적으로 이익을 얻었습니다.

SEC는 "이 고소장에서 논의된 허위 진술, 누락 및 계획으로 인해 SolarWinds 주가가 부풀려졌다"고 말했습니다.

SEC는 또한 브라운이 타협의 전체 영향이 공개된 후 그 가치가 급락하기 전에 부풀려진 SolarWinds 주식을 매도했다고 비난했습니다. SEC가 제공한 뉴욕 증권 거래소 기록에 따르면 브라운은 2020년 2020월부터 9,000년 170,000월 말까지 SolarWinds 주식 2020주를 35달러의 수익에 매각했습니다. XNUMX년 XNUMX월 말까지 SolarWinds의 주가는 XNUMX% 하락했습니다.

다른 혐의로는 SolarWinds가 NIST(National Institute of Standards and Technology) 프레임워크와 같은 프로그램이 완전히 설치되었지만 실제로는 부분적으로만 배포되었다고 말함으로써 사이버 보안 관행에 대해 "실질적으로 허위이고 오해의 소지가 있는 진술"을 한 것이 포함됩니다.

SolarWinds, Brown이 법정에서 싸울 것을 맹세

이에 대해 SolarWinds는 앞으로 법정 싸움을 벌이겠다고 약속했습니다.

"우리는 미국 회사에 대한 러시아의 사이버 공격과 관련된 SEC의 근거 없는 혐의에 실망했으며 이 조치가 우리 국가 안보를 위험에 빠뜨릴 것을 깊이 우려하고 있습니다.”라고 SolarWinds 대변인은 Dark Reading에 제공된 성명에서 말했습니다. “우리와 CISO를 상대로 소송을 제기하려는 SEC의 결정은 기관의 과도한 영향력을 보여주는 또 다른 예이며 전국의 모든 공기업과 헌신적인 사이버 보안 전문가에게 경고해야 합니다. 우리는 법정에서 진실을 명확히 밝히고 Secure by Design 약속을 통해 고객을 지속적으로 지원할 수 있기를 기대합니다.”

브라운의 변호사 알렉 코크(Alec Koch)도 마찬가지로 브라운의 의뢰인을 강력하게 변호하겠다고 약속했습니다.

Koch는 성명을 통해 “Tim Brown은 SolarWinds에서 정보 보안 부사장으로, 나중에는 CIO(최고 정보 보안 책임자)로서 성실하고 정직하며 탁월하게 책임을 수행했습니다.”라고 말했습니다. "씨. Brown은 SolarWinds에 재직하는 동안 회사의 사이버 보안 태세를 지속적으로 개선하기 위해 쉬지 않고 책임감 있게 일해 왔으며, 우리는 그의 평판을 보호하고 SEC의 불만 사항 중 부정확한 부분을 바로잡기를 기대합니다.”

낙진에 대비한 CISO의 대비

CISO의 책임 이는 사이버 보안 커뮤니티가 지난 한 해 동안 면밀히 관찰해 온 것입니다. Brown과 SolarWinds에 대한 새로운 SEC 기소는 판사가 Uber CISO인 Jake Sullivan에게 2016년 사건 은폐에 관여한 혐의로 집행유예 XNUMX년을 선고한 직후에 나왔습니다. Uber의 데이터 유출 그리고 앞으로는 더욱 강력한 처벌을 약속합니다.

Amtrak CISO Jesse Whaley는 아직 SolarWinds SEC 기소가 CISO 역할에 어떤 영향을 미칠지 확신하지 못합니다.

“정말 좋거나 정말 나쁘거나 둘 중 하나입니다.”라고 Whaley는 말합니다. “이는 향후 XNUMX년간의 침해 사고보다 사이버 보안을 발전시키는 데 더 많은 도움이 될 수 있습니다.”

반면 웨일리는 SEC가 브라운을 기소한 것이 정말 옳은 일인지 궁금해하며 회사의 최고재무책임자(CFO)나 법무 자문위원도 기소되지 않은 이유에 대해 의문을 제기했다.

Weave의 CISO인 Jessica Sica는 SEC가 Brown을 기소하면서 더 많은 사람들이 CISO 역할에서 멀어지게 될 것이라고 우려합니다.

Sica는 “이미 CISO가 직장을 떠나 벤더를 위한 현장 CISO가 되는 것을 목격하고 있는 등 냉각 효과가 있을 가능성이 높습니다.”라고 말합니다.

CISO에게 점점 더 심각한 문제는 업무를 수행하는 데 필요한 리소스가 거의 없다는 점이라고 그녀는 설명합니다.

"주요 관심사는 SEC와 기타 기관이 CISO가 업무를 수행하는 데 필요한 리소스를 확보하지 못해 발생한 위반에 대해 CISO에게 책임을 묻기 시작할 것인가 하는 것입니다.” 시카가 묻는다.

그러나 그녀는 공개 측면에서 진실을 말하는 것이 항상 가장 현명한 조치라고 덧붙였습니다. “거짓말하지 마세요. 은폐하지 말고 비즈니스에 영향을 미치는 가장 중요한 문제를 해결하고 있는지 확인하세요.”라고 Sica는 조언합니다.

사이버 보안 전문가인 제이크 윌리엄스는 CISO가 앞으로 발표할 성명에 지나치게 낙관적인 언어가 포함될 수 있으므로 매우 주의해야 한다고 조언합니다.

Williams는 "CISO는 프로그램이 제대로 작동하고 있음을 암시하는 진술서에 서명을 해야 하는 경우가 많습니다."라고 말합니다. “저는 아직 계획 단계에 있는 프로그램이 마치 완전히 배포된 것처럼 공개적으로 논의하면서 상장 기업과 협력한 적도 있습니다. 단기간에 이런 단어 게임을 할 CISO를 찾을 수 없을 것 같습니다.”

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.