Ủy ban An ninh và Giao dịch (SEC) đã buộc tội SolarWinds Corp., cùng với CISO Tim Brown, về các lỗi gian lận và kiểm soát nội bộ liên quan đến cuộc tấn công mạng chuỗi cung ứng năm 2020 trên Nền tảng Orion của công ty; cuối cùng dẫn đến sự thỏa hiệp của các cơ quan chính phủ Hoa Kỳ bởi tình báo Nga.
Các cáo buộc đã gây ra làn sóng chấn động khắp cộng đồng CISO.
Vấn đề, theo SEC, là sự khác biệt giữa những gì Brown và những người khác SolarWinds nhân viên đã nói trong nội bộ so với những gì họ tiết lộ cho các nhà đầu tư.
Các tin nhắn nội bộ tiết lộ rằng các nhân viên biết rõ rằng họ đang đánh lừa khách hàng sau khi phát hiện ra lỗ hổng Orion, lỗ hổng bảo mật SEC giải thích trong đơn khiếu nại của mình.
“Chà, tôi chỉ nói dối thôi”
“Ngay sau cuộc tấn công vào Công ty An ninh mạng B vào tháng 2020 năm XNUMX, các nhân viên của SolarWinds bao gồm cả Brown đã nhận ra những điểm tương đồng giữa cuộc tấn công vào Cơ quan Chính phủ Hoa Kỳ A,” Khiếu nại của SEC cho biết. “Nhưng khi nhân viên tại Công ty An ninh mạng B hỏi nhân viên của SolarWinds rằng trước đây họ có thấy hoạt động tương tự hay không, Nhân viên InfoSec F đã nói dối rằng họ chưa từng thấy. Sau đó anh ấy nhắn tin cho một đồng nghiệp rằng 'Ồ, tôi chỉ nói dối thôi'”.
Tuy nhiên, theo cơ quan quản lý, việc không áp dụng các biện pháp kiểm soát an ninh mạng thích hợp tại SolarWinds đã bắt đầu từ năm 2018. SEC cáo buộc Brown đã biết nhưng bỏ qua các cảnh báo về các lỗ hổng của công ty, bao gồm cả bài thuyết trình năm 2018 của kỹ sư SolarWinds đã gắn cờ thiết lập truy cập từ xa của công ty là “không an toàn lắm” và giải thích rằng một kẻ đe dọa có thể sử dụng nó để “ về cơ bản, hãy làm bất cứ điều gì mà chúng tôi không phát hiện ra cho đến khi quá muộn”, hồ sơ cho biết.
Bằng cách phớt lờ những cảnh báo này về tình trạng an ninh mạng của công ty và không nêu vấn đề lên cấp chỉ huy, SEC cáo buộc Brown đã cố tình để hệ thống của công ty không được bảo vệ.
Brown bị buộc tội bán cổ phiếu SolarWinds tăng cao
SolarWinds đã nộp bản tiết lộ 8-K chưa đầy đủ cho SEC vào tháng 2020 năm XNUMX và cá nhân Brown đã thu lợi từ việc giá cổ phiếu tăng cao, theo cáo buộc.
SEC cho biết: “Giá cổ phiếu của SolarWinds đã tăng cao do những sai sót, thiếu sót và âm mưu được thảo luận trong Khiếu nại này”.
SEC còn cáo buộc Brown bán cổ phiếu SolarWinds tăng giá trước khi giá trị của nó giảm mạnh sau khi toàn bộ tác động của thỏa hiệp được công khai. Từ tháng 2020 năm 2020 đến cuối tháng 9,000 năm 170,000, Brown đã bán 2020 cổ phiếu SolarWinds với lợi nhuận 35 USD, theo Hồ sơ Sở giao dịch chứng khoán New York do SEC cung cấp. Đến cuối tháng XNUMX năm XNUMX, giá cổ phiếu của SolarWinds đã giảm XNUMX%.
Các cáo buộc khác bao gồm việc SolarWinds đưa ra “tuyên bố sai lệch và gây hiểu nhầm về mặt nghiêm trọng” về các hoạt động an ninh mạng của mình bằng cách nêu rõ các chương trình như khuôn khổ của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã được áp dụng đầy đủ, trong khi trên thực tế, chúng chỉ được triển khai một phần.
SolarWinds, Brown thề sẽ đấu tranh trước tòa
Đáp lại, SolarWinds hứa sẽ có một cuộc đấu tranh trước tòa.
"Chúng tôi thất vọng trước những cáo buộc vô căn cứ của SEC liên quan đến cuộc tấn công mạng của Nga vào một công ty Mỹ và lo ngại sâu sắc rằng hành động này sẽ khiến an ninh quốc gia của chúng tôi gặp nguy hiểm”, người phát ngôn của SolarWinds cho biết trong một tuyên bố cung cấp cho Dark Reading. “Quyết tâm của SEC trong việc đưa ra khiếu nại chống lại chúng tôi và CISO của chúng tôi là một ví dụ khác về sự hoạt động quá mức của cơ quan và sẽ cảnh báo tất cả các công ty đại chúng cũng như các chuyên gia an ninh mạng cam kết trên toàn quốc. Chúng tôi mong muốn làm rõ sự thật trước tòa và tiếp tục hỗ trợ khách hàng thông qua các cam kết Bảo mật theo Thiết kế của chúng tôi.”
Luật sư của Brown, Alec Koch, cũng cam kết sẽ bảo vệ mạnh mẽ thân chủ của mình.
“Tim Brown đã thực hiện trách nhiệm của mình tại SolarWinds với tư cách là phó chủ tịch phụ trách bảo mật thông tin và sau đó là giám đốc bảo mật thông tin với sự siêng năng, chính trực và khác biệt,” Koch cho biết trong một tuyên bố. "Ông. Brown đã làm việc không mệt mỏi và có trách nhiệm để liên tục cải thiện tình hình an ninh mạng của Công ty trong suốt thời gian làm việc tại SolarWinds và chúng tôi mong muốn bảo vệ danh tiếng của anh ấy cũng như sửa chữa những điểm không chính xác trong khiếu nại của SEC.”
Cú đúp của CISO cho bụi phóng xạ
Trách nhiệm của CISO là điều mà cộng đồng an ninh mạng đã theo dõi chặt chẽ trong năm qua. Các cáo buộc mới của SEC chống lại Brown và SolarWinds được đưa ra ngay sau khi một thẩm phán kết án Uber CISO Jake Sullivan ba năm quản chế vì vai trò của anh ta trong việc che đậy vụ việc năm 2016 vi phạm dữ liệu tại Uber và hứa hẹn những hình phạt khắc nghiệt hơn trong tương lai.
Amtrak CISO Jesse Whaley vẫn chưa chắc chắn bản cáo trạng của SolarWinds SEC sẽ tác động rộng rãi hơn đến vai trò của CISO như thế nào.
“Nó thực sự tốt hoặc thực sự tệ,” Whaley nói. “Điều này có thể giúp ích nhiều hơn cho việc thúc đẩy an ninh mạng hơn là một thập kỷ vi phạm khác.”
Mặt khác, Whaley tự hỏi liệu SEC có thực sự làm điều đúng đắn khi buộc tội Brown hay không, đồng thời nói thêm rằng anh ta có thắc mắc về lý do tại sao giám đốc tài chính hoặc tổng cố vấn của công ty cũng không có tên trong bản cáo trạng.
Jessica Sica, CISO tại Weave, lo ngại động thái của SEC buộc tội Brown sẽ khiến nhiều người rời xa vai trò CISO hơn.
Sica nói: “Nó có thể sẽ có một hiệu ứng ớn lạnh, điều mà chúng tôi đã thấy khi các CISO rời bỏ công việc của họ để trở thành CISO hiện trường cho các nhà cung cấp”.
Cô giải thích, vấn đề ngày càng nghiêm trọng đối với các CISO là hầu như không ai có đủ nguồn lực cần thiết để thực hiện công việc của mình.
"Tôi nghĩ mối quan tâm chính là liệu SEC và các đơn vị khác có bắt đầu quy trách nhiệm cho CISO về những vi phạm xảy ra do họ không nhận được nguồn lực cần thiết để thực hiện công việc hay không?” Sica hỏi.
Tuy nhiên, cô cho biết thêm, xét về mặt tiết lộ, nói sự thật luôn là bước đi thông minh nhất. “Đừng nói dối. Đừng che đậy và hãy đảm bảo rằng bạn đang khắc phục những vấn đề quan trọng nhất ảnh hưởng đến doanh nghiệp của mình,” Sica khuyên.
Chuyên gia an ninh mạng Jake Williams khuyên các CISO cũng nên hết sức cẩn thận với những tuyên bố mà họ đưa ra trong tương lai có thể chứa ngôn ngữ quá lạc quan.
Williams nói: “CISO thường bị buộc phải ký vào một tuyên bố ngụ ý về sự tồn tại của một chương trình đang hoạt động. “Tôi thậm chí còn làm việc với các công ty giao dịch công khai thảo luận công khai về một chương trình vẫn đang trong giai đoạn lập kế hoạch như thể nó đã được triển khai đầy đủ. Nói tóm lại, tôi không nghĩ bạn sẽ có thể tìm được CISO để chơi trò chơi chữ như thế này.”
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/attacks-breaches/sec-charges-against-solarwinds-ciso-send-shockwaves-through-security-ranks
