Джон П. Мелло младший
23 июня 2021 года, 4:00 утра по тихоокеанскому времени
Клиенты SolarWinds, которые в прошлом году испытали громкую утечку данных, становятся объектом расследования со стороны Комиссия по ценным бумагам и биржам США, согласно отчету Reuters.
Расследование сосредоточено на том, не смогли ли некоторые компании, ведущие дела с производителем программного обеспечения для управления сетью, раскрыть, что они пострадали от атаки, сообщило в понедельник агентство Reuters со ссылкой на два анонимных источника, знакомых с ходом расследования.
Эти источники сообщили, что на прошлой неделе SEC разослала письма ряду публичных компаний и инвестиционных фирм с просьбой добровольно признать, что они были жертвами, и не раскрыла это.
«Решение Комиссии по ценным бумагам и биржам расследовать нарушение государственного предприятия является довольно важным, учитывая, что это нарушение может иметь финансовые последствия, которые могут повлиять на будущее компании», — сказал Пиюш Шаррма, соучредитель Accurics, компании по обеспечению киберустойчивости в Плезантоне. Калифорния сообщила TechNewsWorld.
«Влияние этих крупномасштабных нарушений явно может дестабилизировать цены на акции и фондовый рынок в целом, поэтому имеет смысл, что SEC будет проводить такое расследование», — добавил Оливер Таваколи, технический директор Vectra AI. , поставщик автоматизированных решений для управления угрозами в Сан-Хосе, Калифорния.
Поскольку кибератаки продолжают расти изощреннее и дороже, важно, что SEC знает о нарушениях безопасности и активно запрашивает информацию о них, — утверждает Брайс Хэнкок, главный операционный директор Cerberus Sentinel, компании, занимающейся консультированием по вопросам кибербезопасности и тестированием на проникновение в Скоттсдейле. , Аризона
«Это важно с точки зрения раскрытия информации, а также для повышения осведомленности о важности создания культуры кибербезопасности», — сказал он TechNewsWorld.
Комиссия по ценным бумагам и биржам не ответила на запрос о комментарии к этой статье.
Содержание статьи
Вопрос о досягаемости
Джеймс Маккуигган, защитник осведомленности о безопасности в KnowBe4, учебном центре по вопросам безопасности в Клируотере, штат Флорида, объяснил, что у SolarWinds тысячи клиентов, многие из которых, вероятно, являются публичными компаниями .
«Хотя о взломе SolarWinds часто говорили в новостях, не было хорошо известно, выступили ли другие организации, чтобы сообщить об их взломе», — сказал он TechNewsWorld.
«Однако Комиссия по ценным бумагам и биржам требует от организаций наличия процедур раскрытия информации, поскольку они обязаны сообщать о любых утечках данных или киберинцидентах», — продолжил он.
«По иронии судьбы, компания может сообщить в SEC о взломе, — добавил он, — но не может раскрыть его публично, если это не связано с потерей каких-либо данных, контролируемых конфиденциальностью, таких как имена или адреса электронной почты».
Брент Джонсон, директор по информационной безопасности Bluefin, компании по обеспечению безопасности данных в Атланте, объяснил, что расследование взлома SolarWinds не является полностью неожиданным, поскольку в прошлом агентство штрафовало компании за нераскрытие утечек данных.
«На этот раз изменилось множество компаний, пострадавших от инцидента с SolarWinds», — сказал он TechNewsWorld.
«Неясность в отношении того, повлияла ли работа затронутых версий программного обеспечения на пользовательские базы различных компаний, вероятно, вызвала недовольство. Много вопросов относительно истинного досягаемости здешних хакеров ", — сказал он TechNewsWorld.
Sunburst Backdoor
Атака на платформу SolarWinds Orion была раскрыта в декабре. Платформа обычно используется для управлять сложными коммутируемыми и маршрутизируемыми сетевыми архитектурами.
Из-за сложности атаки предполагается, что операция была поддержана национальным государством.
SolarWinds обнаружила, что хакеры могут проникнуть в ее инфраструктуру разработки программного обеспечения и внедрить вредоносную программу, известную как Sunburst, в легальное обновление программного обеспечения для Orion.
В марте 2020 года вредоносное ПО было распространено среди клиентов SolarWinds. Патч создавал бэкдор в зараженных системах, что давало хакерам возможность украсть данные из этих систем.
Маккуигган отметил, что SEC требует сообщать агентству об утечках данных с февраля 2018 года.
«Однако, — продолжил он, — атака SolarWinds настолько заметна в отрасли, что Комиссия по ценным бумагам и биржам может понять, что должно быть значительно большее количество организаций, которые еще не сообщают, повлияла ли на них утечка через эксплойт Sunburst. «
« Это не совсем новая территория для SEC, поскольку она подала в суд на компании, связанные с раскрытием информации о нарушениях и непринятием надлежащей политики кибербезопасности, по крайней мере, еще десять лет назад », — добавил Таваколи.
«Но, — сказал он TechNewsWorld, — этот толчок кажется более обширным и отличным от специальных подходов прошлого».
Далеко идущий запрос
Помимо запроса о добровольном раскрытии информации, агентство Reuters сообщило, что Комиссия по ценным бумагам и биржам требует от жертв атаки информацию о том, не произошло ли у них нарушения внутреннего контроля, а также данные инсайдерской торговли.
Reuters также сообщило, что SEC изучает политику некоторых компаний, чтобы определить, предназначены ли они для защиты информации о клиентах.
«Мне действительно интересно узнать о внутреннем контроле», — сказал Джонсон. «В то время как атака на цепочку поставок может быть трудной для обнаружения с точки зрения внутреннего контроля, способность компании расследовать, реагировать и уведомлять после обнаружения уязвимости может подвергнуться тщательной проверке».
Шаррма утверждал, что Комиссия по ценным бумагам и биржам пытается понять, были ли причастны к нарушению государственные угрозы. Однако он признал: «Обеспечение контроля и политики могло бы быть более сложным, потому что каждый контроль не может применяться к каждому предприятию».
«Я думаю, что они заинтересованы в изучении, понимании и оценке воздействия нарушения, вместо того, чтобы проводить политику безопасности », — добавил он.
Таваколи назвал информационные запросы SEC «далеко идущими».
«Комиссия по ценным бумагам и биржам, устанавливающая более четкую границу для того, что является разумной политикой и практикой кибербезопасности, может внести ясность в корпоративную ответственность за защиту акционерной стоимости», — сказал он. .
«Нарушения — и инсайдерская информация о них — явно могут быть использованы для незаконной торговли акциями, что полностью входит в компетенцию Комиссии по ценным бумагам и биржам», — добавил он.
Он также отметил, что неясно, какие действия SEC может предпринять против компаний, которые добровольно признают, что они не раскрыли влияние взлома SolarWinds на их операции.
«Из публичных отчетов неясно, не будут ли компании, которые теперь раскрывают нарушение, подлежать штрафам — просто информация, которую они предоставляют SEC, не будет использоваться в качестве основания для судебного иска», — сказал он.
«И компании могут по-прежнему желать избегать публичного раскрытия информации и неизбежного множества гражданских исков, которые могут возникнуть в результате такого раскрытия», — добавил он.