YORUM
bir önceki makaleMenkul Kıymetler ve Borsa Komisyonu’nun (SEC) SolarWinds iddianamelerinin ve dört gün kuralının DevSecOps için ne anlama geldiğini anlattım. Bugün farklı bir soru soralım: Siber ifşalar buradan nereye gidiyor?
Siber güvenlik sektörüne katılmadan önce menkul kıymetler avukatıydım. SEC kurallarında gezinmek için çok zaman harcadım ve düzenli olarak SEC ile çalıştım. Bu makale hukuki tavsiye niteliğinde değildir. Bu, SEC’e uzaktan da olsa gerçek aşinalığı olan birinden pratik bir tavsiye.
Kısaca SEC İddianamesi
30 Ekim 2023’te SEC şikayette bulundu SolarWinds’e ve onun bilgi güvenliği sorumlusuna karşı, “dolandırıcılık ve iç kontrol başarısızlıkları” ve “yanlış beyanlar, ihmaller ve hem Şirketin zayıf siber güvenlik uygulamalarını hem de artan – ve artan – siber güvenlik risklerini gizleyen planlar” suçlamasıyla dava açıldı. Sistemlerine ve müşterilerine saldırı.
“Zorunluluk” Sorusunu Bir Kenara Bırakmak
SEC’in harekete geçmesi gerekip gerekmediğini bir kenara bırakmak istiyorum. Bu konuyla ilgili zaten çok fazla ses var. Bazıları SolarWinds’in kamuya açık siber güvenlik açıklamalarının gerçeklere dayalı değil, ilham verici olduğunu iddia ediyor. Diğerleri ise departmanı gerekli savunmaları sağlayamadığı için CISO’nun hedef alınmaması gerektiği görüşünü savunuyor. Bunu yapmak için başkalarına güveniyordu. Son olarak, SolarWinds ve onun CISO’sunu desteklemek için sunulan ortak brifingler, davanın CISO rollerinin işe alınması ve tutulması üzerinde caydırıcı etkiiç iletişim, siber güvenliği iyileştirme çabaları ve daha fazlası.
Siber İfşa Sorunu
SEC, şikayetine şirketin Ekim 2018’de halka arz kayıt beyanını sunduğunu belirterek başladı. Bu belgede standart bir metin ve varsayımsal bir siber güvenlik risk faktörü açıklaması vardı. Aynı ay, SEC’in şikayetinde şöyle yazıyordu: “Brown dahili bir sunumda SolarWinds’in”Mevcut güvenlik durumu bizi kritik varlıklarımız açısından oldukça savunmasız bir durumda bırakıyor.”
Bu tutarsızlık büyük ve SEC bunun daha da kötüleştiğini söyledi. SolarWinds çalışanları ve yöneticileri, SolarWinds ürünlerine yönelik zaman içinde artan riskleri, güvenlik açıklarını ve saldırıları biliyor olsalar da, “SolarWinds’in siber güvenlik risk açıklamaları bunları hiçbir şekilde açıklamadı.” SEC, amacını açıklamak için, halka arzın ardından aynı, değişmemiş, varsayımsal, standart siber güvenlik risk açıklamasını içeren tüm kamuya açık SEC dosyalarını listeledi.
SEC’in şikayetini başka kelimelerle ifade edecek olursak: “Bu Şikayette tartışılan bazı bireysel riskler ve olaylar kendi başlarına açıklama gerektirecek seviyeye yükselmemiş olsa bile… toplu olarak öylesine artan bir risk yarattılar ki…” SolarWinds’in açıklamaları “maddi olarak yanıltıcı” hale geldi ” Daha da kötüsü, SEC’e göre SolarWinds, birikmiş sayıda tehlike işaretine rağmen genel standart açıklamaları tekrarladı.
Bir menkul kıymetler avukatı olarak öğreneceğiniz ilk şeylerden biri, bir şirketin SEC dosyalarındaki açıklamaların, risk faktörlerinin ve risk faktörlerinde yapılan değişikliklerin son derece önemli olduğudur. Yatırımcılar ve menkul kıymet analistleri tarafından hisse senedi alım ve satımlarını değerlendirmek ve önermek için kullanılırlar. Dost brifinglerinden birinde “CISO’ların genel olarak kamuya açıklanacak açıklamaların taslağını hazırlamak veya onaylamaktan sorumlu olmadığını” okuduğumda şaşırdım. Belki de öyle olmalılar.
İyileştirme Güvenli Liman Önerisi
Farklı bir şey önermek istiyorum: Siber güvenlik riskleri ve olayları için güvenli bir iyileştirme limanı. SEC, iyileştirme sorununa karşı kör değildi. Bu bağlamda şunları söyledi:
“SolarWinds ayrıca, Ekim 2018’deki halka arzından önce ve çoğu için aylar veya yıllar sonra yukarıda açıklanan sorunları düzeltmede başarısız oldu. Böylece, tehdit aktörleri daha sonra SolarWinds’in dahili sistemlerine erişmek için hâlâ düzeltilmemiş VPN güvenlik açığından yararlanabildiler. Ocak 2019’da yaklaşık iki yıl boyunca tespit edilmekten kaçının ve sonuçta kötü amaçlı kod ekleyerek SUNBURST siber saldırısına yol açın.”
Teklifime göre, herhangi bir şirket dört günlük süre içinde eksiklikleri veya saldırıyı giderirse, (a) dolandırıcılık iddiasından kaçınabilmeli (yani konuşacak bir şey yok) veya (b) 10Q ve 10K standardını kullanabilmelidir. Olayın ifşa edilmesi için Yönetim Tartışması ve Analiz bölümü de dahil olmak üzere süreç. Bu SolarWinds’e yardımcı olmamış olabilir. Durumu açıkladığında 8K, şirketin yazılımının herhangi bir iyileştirme referansı olmaksızın “tehdit aktörleri tarafından eklenen kötü amaçlı kod içerdiğini” söyledi. Yine de, saldırgan ve savunucu arasında hiç bitmeyen bir savaşla karşı karşıya olan sayısız diğer kamu şirketi için, bir iyileştirme güvenli limanı, olayı değerlendirmeleri ve olaya müdahale etmeleri için dört günlük bir zaman diliminin tamamını onlara tanıyacaktır. Daha sonra, sorun giderilirse olayı uygun şekilde açıklamak için zaman ayırın. Bu “öncelikle düzeltin” yaklaşımının diğer bir faydası da siber müdahaleye daha fazla önem verilmesi ve bir şirketin halka açık hisselerine daha az etki yapılmasıdır. 8K’lar çözülmemiş siber güvenlik olayları için hâlâ kullanılabilir.
Çözüm
SEC’in harekete geçip geçmemesi gerektiği sorusunu nerede ortaya çıkarırsanız çıkarın, siber güvenlik olaylarını nasıl, ne zaman ve nerede ifşa ettiğimiz sorusu tüm siber profesyoneller için büyük bir soru olacak. Benim açımdan, siber güvenlik olayları ortaya çıktığında CISO’nun şirketin açıklamalarını kontrol etmesi veya en azından onaylaması gerektiğini düşünüyorum. Dahası, mümkün olan en az bağımlılıkla hızlı bir şekilde “görmek ve çözmek” için tek bir cam panel sağlayan platformlar aramalılar. SEC’i öncelikli çözüm zihniyetini benimsemeye teşvik edebilirsek, herkes için daha iyi siber güvenlik açıklamalarının kapısını açabiliriz.