Kibernetinio saugumo byla, kuris prikausto valdybų dėmesį

  „S.E.C. ieškinys prieš programinės įrangos bendrovę, į kurią įsilaužta 2020 m., gali turėti įtakos tai, kaip įmonės valdo kibernetinio saugumo riziką.

 

     Pastarąjį mėnesį „Fortune 500“ posėdžių salėse ir įmonių saugumo skyriuose privatus pokalbių objektas buvo po radaru vykdomas ieškinys.

 

     Spalio mėnesį Vertybinių popierių ir biržų komisija (S.E.C.) padavė į teismą programinės įrangos bendrovę, į kurią buvo įsilaužta 2020 m., apkaltindama ją investuotojų apgaudinėjimu, nes neatskleidė tariamai žinomų kibernetinio saugumo rizikų ir pažeidžiamumų.

 

     Ieškinyje buvo pavadinta ne tik bendrovė „SolarWinds“, bet ir jos vyriausiasis informacijos saugumo pareigūnas Timothy Brownas. Prieš metus buvęs vyriausiasis Uber saugumo pareigūnas Joe Sullivanas buvo pripažintas kaltu dėl to, kad neatskleidė duomenų pažeidimo federalinėms reguliavimo institucijoms. Kibernetinio saugumo klausimais vadovaujantys vadovai jaučia, kad jų asmeninė rizika didėja.

 

     „Aš tai darau 25 metus ir visada saugojau kitus“, – sakė programinės įrangos bendrovės „Sumo Logic“ vyriausiasis saugumo pareigūnas ir vyresnysis informacinių technologijų viceprezidentas George'as Gerchow. „Dabar staiga atsidūriau keistoje padėtyje, kai turiu apsisaugoti."

 

     Ko gero, didesnį nerimą posėdžių salėms kelia tai, kad „SolarWinds“ atskleidė tam tikrą kibernetinio saugumo riziką – taip pat, kaip tai daro beveik visos valstybinės bendrovės.

 

     „Galite stebėti šimtą skirtingų įmonių, kad jos visos iš esmės vartoja tą pačią kalbą“, – sakė Josephine Wolff, Tuftso universiteto kibernetinio saugumo politikos docentė.

 

     Dabar atrodo, kad S.E.C. nebemano, kad tos išsamios informacijos atskleidimo pakanka, jei įmonė žino apie konkretesnę riziką. Ieškinys yra pirmasis, kuriame S.E.C. apkaltino bendrovę tyčiniu sukčiavimu, susijusiu su kibernetinio saugumo informacijos atskleidimu, teigia advokatų kontora „White & Case“.

 

     Pirmajame savo interviu nuo S.E.C. skundo, C.E.O. „SolarWinds“, Sudhakaras Ramakrishna, „DealBook“ sakė, kad bendrovė nežinojo apie problemą, dėl kurios ją 2020 m. patyrė kibernetinė ataka, ir kad ieškinys buvo „S.E.C. bandymas tobulinti politiką“.

 

     Šis ieškinys gali „iš tikrųjų priversti CISO bijoti, o ne labiau paskatinti kelti balsą“, sakė jis.

 

     Dauguma ekspertų sutinka, kad nepaisant ieškinio baigties, tai gali turėti įtakos tam, kaip įmonės valdo kibernetinio saugumo riziką. Tačiau jie nesutaria, ar tai paskatins geresnę ar blogesnę praktiką.

 

     Ieškinys nėra vienintelis S.E.C. atkreipia dėmesį į kibernetinį saugumą. Liepą agentūra priėmė naujus kibernetinio saugumo atskleidimo reikalavimus, kurie įsigalios gruodį. Jie reikalauja, kad įmonės per keturias dienas praneštų apie reikšmingas atakas ir kasmet atskleistų savo kibernetinio saugumo rizikos valdymą ir strategiją. Birželio mėn. kalboje S.E.C. vykdymo užtikrinimo direktorius Gurbiras Grewalas teigė, kad kibernetinio saugumo atskleidime ji „netoleruoja žaidimo“.

 

     Kai kurie ekspertai nerimauja, kad ieškinys gali turėti atšaldymo poveikį. „Buvo keletas rimtų įspėjamųjų ženklų, kad jis ir jo komanda pasirodė“, - sakė Wolffas apie „SolarWinds CISO“. „Ir dabar tai panaudojama prieš jį, konkrečiai norint pasakyti: „Jūs žinojote apie tai, jūs to neatskleidėte S.E.C. dokumentuose“. Manau, kad tai tikrai skatina niekada nedokumentuoti arba niekur nerasti jokių pažeidžiamumų. Tai gali apsunkinti I.T. departamento prašyti pinigų kibernetiniam saugumui, sakė ji.

 

     Ramakrishna, „SolarWinds C.E.O.“, teigė, kad, jei tikimasi atskleisti visas galimas saugumo spragas, užpuolikai gali lengviau jomis piktnaudžiauti. „Viena vertus, tai bus per daug, kad paprastas investuotojas suprastų“, – sakė jis. „Kita, manau, žaisime į grėsmės rankas.

 

     Kiti teigia, kad grėsmė S.E.C. veiksmai galėtų suteikti galių vadovams, atsakingiems už kibernetinį saugumą. Jake'as Williamsas, saugumo ekspertas, konsultuojantis su įmonėmis patyrus duomenų pažeidimą, sakė reguliariai matantis, kad CISO prašoma „nupiešti rožinį vaizdą, atitinkantį tikrovę“. Tačiau jis pridūrė: „Manau, kad tokia praktika nustojo tą dieną, kai agentūra iškėlė „SolarWinds“ ieškinį. Dabar jokia CISO negali rizikuoti iš esmės sukurti nerealiai teigiamą kibernetinio saugumo vaizdą."

 

     Harley Geiger yra teisininkas, kuris specializuojasi kibernetinio saugumo srityje advokatų kontoroje „Venable“ ir yra komandos, atstovaujančios technologijų įmonių, įskaitant „Cisco“, „Broadcom“, „Microsoft“ ir „Google“, koalicijai. Jis teigė, kad CISO gali reaguoti į padidėjusį asmeninį pavojų, o ne vengti dokumentuoti susirūpinimą keliančius klausimus ir rekomendacijas, taip pat klysti dėl didėjančios rizikos ir pažeidžiamumo.

 

     "Jie gali norėti, kad juos apdraustų įmonės draudimo liudijimas. Jie gali reikalauti, kad darbo sutartyse būtų atlyginta žala", – sakė A. Geigeris. „Manau, kad CISO nuspręstų ignoruoti ar neeskaluoti materijos, tai būtų neteisinga žinutė arba neteisingas sprendimas, dirbant su  kibernetinio saugumo informacija“.

 

     Jei bendro atskleidimo nepakanka, kas yra pakankama? Pernelyg konkretus pažeidžiamumas gali suteikti užpuolikams vertingos informacijos, o per plati informacija investuotojams nėra vertinga. „Klausimas, – sakė Wolffas, – ar S.E.C. gali apibrėžti aiškų vidurį." – Sarah Kessler“ [1]

1. The Cybersecurity Suit That's Riveting Boards: [Business/Financial Desk]. Kessler, Sarah.  New York Times, Late Edition (East Coast); New York, N.Y.. 20 Nov 2023: B.2.