Sikkerhets- og utvekslingskommisjonen (SEC) har siktet SolarWinds Corp., sammen med sin CISO Tim Brown, for svindel og internkontrollsvikt knyttet til 2020 forsyningskjeden cyberangrep på selskapets Orion-plattform; til slutt førte til kompromiss mellom amerikanske regjeringsdepartementer av russisk etterretning.
Anklagene sender allerede sjokkbølger i hele CISO-samfunnet.
Det dreier seg, ifølge SEC, avviket mellom hva Brown og andre Solarwinds ansatte sa internt versus hva de avslørte til investorer.
Interne meldinger avslørte at ansatte var godt klar over at de villedet kunder i kjølvannet av oppdagelsen av Orion-sårbarheten, SEC forklarte i sin klage.
"Vel, jeg løy"
"Kort etter angrepet mot cybersikkerhetsfirma B i oktober 2020, anerkjente SolarWinds-ansatte inkludert Brown likheter mellom angrepet på amerikanske myndigheter A," heter det i SEC-klagen. "Men da personell ved Cybersecurity Firm B spurte SolarWinds-ansatte om de tidligere hadde sett lignende aktivitet, fortalte InfoSec-ansatt F feilaktig Cybersecurity Firm B at de ikke hadde det. Deretter sendte han melding til en kollega "Vel, jeg løy."
Men unnlatelsen av å sette på plass passende cybersikkerhetskontroller hos SolarWinds startet så langt tilbake som i 2018, ifølge regulatoren. SEC hevder Brown var klar over, men ignorerte, advarsler om selskapets sårbarheter, inkludert en presentasjon fra 2018 av en SolarWinds-ingeniør som flagget selskapets fjerntilgangsoppsett som "ikke veldig sikkert", og forklarte at en trusselaktør kunne bruke det til å " gjør i utgangspunktet hva som helst uten at vi oppdager det før det er for sent, heter det i innleveringen.
Ved å ignorere disse advarslene om cybersikkerhetsstillingen til selskapet og unnlate å løfte problemet opp i kommandokjeden, hevder SEC Brown med vilje forlot selskapets systemer ubeskyttet.
Brown anklaget for å selge oppblåste SolarWinds-aksjer
SolarWinds sendte inn en ufullstendig 8-K-avsløring til SEC i desember 2020 og Brown tjente personlig på den oppblåste aksjekursen, ifølge anklagene.
"SolarWinds aksjekurs ble blåst opp av feilinformasjonen, utelatelsene og ordningene som ble diskutert i denne klagen," sa SEC.
SEC anklaget videre Brown for å selge oppblåste SolarWinds-aksjer før verdien falt når den fulle virkningen av kompromisset ble offentlig. Mellom februar 2020 og slutten av august 2020 solgte Brown 9,000 170,000 aksjer i SolarWinds med en fortjeneste på 2020 35 dollar, ifølge New York Stock Exchange Records levert av SEC. Ved utgangen av desember XNUMX falt SolarWinds aksjekurs med XNUMX %.
Andre anklager inkluderer SolarWinds som kommer med "vesentlig falske og villedende uttalelser" om sin cybersikkerhetspraksis ved å oppgi at programmer som National Institute of Standards and Technology (NIST) var fullstendig på plass, mens de faktisk bare ble delvis distribuert.
SolarWinds, Brown lover å kjempe i retten
Som svar lovet SolarWinds en rettskamp fremover.
"Vi er skuffet over SECs ubegrunnede anklager knyttet til et russisk nettangrep på et amerikansk selskap og er dypt bekymret for at denne handlingen vil sette vår nasjonale sikkerhet i fare, sa en talsperson for SolarWinds i en uttalelse gitt til Dark Reading. «SECs besluttsomhet om å fremsette et krav mot oss og vår CISO er et annet eksempel på byråets overgrep og bør alarmere alle offentlige selskaper og engasjerte cybersikkerhetseksperter over hele landet. Vi ser frem til å avklare sannheten i retten og fortsette å støtte våre kunder gjennom våre Secure by Design-forpliktelser.»
Browns advokat, Alec Koch, lovet på samme måte et kraftig forsvar av sin klient.
"Tim Brown har utført sitt ansvar i SolarWinds som visepresident for informasjonssikkerhet og senere som sjef for informasjonssikkerhet med flid, integritet og distinksjon," sa Koch i en uttalelse. "MR. Brown har jobbet utrettelig og ansvarlig for å kontinuerlig forbedre selskapets cybersikkerhetsstilling gjennom sin tid hos SolarWinds, og vi ser frem til å forsvare hans rykte og rette opp unøyaktighetene i SECs klage.»
CISOs Brace for Fallout
CISO-ansvar er noe cybersikkerhetsmiljøet har fulgt nøye med det siste året. De ferske SEC-anklagene mot Brown og SolarWinds kommer i hælene på en dommer som dømte Uber CISO Jake Sullivan til tre års prøvetid for sin rolle i coverupen av en 2016 datainnbrudd hos Uber og lover strengere straffer i fremtiden.
Amtrak CISO Jesse Whaley er ikke helt sikker på hvordan SolarWinds SEC-tiltalen vil påvirke CISO-rollen bredere ennå.
"Det er enten veldig bra eller veldig dårlig," sier Whaley. "Dette kan gjøre mer for å fremme cybersikkerhet enn ytterligere et tiår med brudd."
På den annen side lurer Whaley på om SEC virkelig gjør det rette ved å sikte Brown, og legger til at han har spørsmål om hvorfor selskapets finansdirektør eller generaladvokat ikke også ble nevnt i tiltalen.
Jessica Sica, CISO hos Weave, er bekymret for at SECs trekk for å belaste Brown vil presse flere mennesker bort fra CISO-rollen.
"Det vil sannsynligvis ha en avslappende effekt, som vi allerede ser med CISOer som forlater jobbene sine for å bli felt CISOer for leverandører," sier Sica.
Det stadig mer akutte problemet for CISO-er, forklarer hun, er at nesten ingen har ressursene de trenger for å gjøre jobben sin.
"Jeg tror den største bekymringen er vil SEC og andre enheter begynne å holde CISOer ansvarlige for brudd som skjedde fordi de ikke får ressursene de trenger for å gjøre jobben?» spør Sica.
Men, legger hun til, når det gjelder avsløringer, å fortelle sannheten er alltid det smarteste trekket. "Ikke lyv. Ikke dekk til, og sørg for at du utbedrer de mest kritiske problemene som påvirker virksomheten din,” råder Sica.
CISOer bør også være veldig forsiktige med uttalelser de kommer med i fremtiden som kan inneholde altfor optimistisk språk, råder nettsikkerhetsekspert Jake Williams.
"CISO blir ofte lurt til å signere en erklæring som antyder at det finnes et fungerende program," sier Williams. "Jeg har til og med jobbet med børsnoterte selskaper som offentlig diskuterte et program som fortsatt er i planleggingsstadiet som om det var fullt ut implementert. Kort sagt, jeg tror ikke du vil være i stand til å finne en CISO for å spille ordspill som dette.»
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/attacks-breaches/sec-charges-against-solarwinds-ciso-send-shockwaves-through-security-ranks
