コンテンツにスキップ

2021年4月15日、テキサス州オースティンの本社にあるSolarWinds Corp.のロゴ。米国は、クレムリンによる米国の選挙干渉、大規模なサイバー攻撃、その他の敵対行為に対する米国政府の報復として、ロシアに対する制裁と外交官10人の追放を発表した。ホワイトハウスは、昨年の米政府コンピューターシステムに対するいわゆるソーラーウィンズによる大規模ハッキングに言及し、今回の制裁は「米国とその同盟国、パートナーに対する悪意のあるサイバー活動」にも同様に対応すると述べた。 (写真提供:SUZANNE CORDEIRO / AFP)(写真提供:SUZANNE CORDEIRO / AFP、Getty Images)

カジノサイト

SEC、サイバーセキュリティの不正開示でSolarWindsとそのCISOを告発

クレア・マイヤー著
2023 年 11 月 2 日

今日の安全保障

2020 年の大規模なサンバーストの余波サイバー攻撃SolarWinds で継続します。米国証券取引委員会 (SEC)10月30日、サイバーセキュリティリスクを利害関係者に過小評価し、潜在的な脅威に関する多数の警告サインを見逃した疑いで、ソーラーウィンズとその最高情報セキュリティ責任者(CISO)ティモシー・G・ブラウンに対して訴えた。

「会社の CISO が秘密保持の罪で SEC の告発に指名されるのは異例です。」。 「SolarWinds の事件は、CISO の役割にとって極めて重要なポイントとなり、CISO をより一層の精査と責任を必要とする役割に変える可能性があります。」

SEC は、ブラウンと同社が、ソーラーウィンズのサイバーセキュリティ慣行における特定の欠陥と同社が直面するリスクの増大を認識していたとされるにもかかわらず、一般的かつ仮説的なリスクのみを開示することで投資家を誤解させたと主張している。告訴状には、サイバーセキュリティのリスクと管理に関する定期報告書を SEC に提出する際に、サイバーセキュリティに関する CISO の取締役会への発言が大きく依存していた、と述べられています。

「SECの訴状では、ブラウン氏はソーラーウィンズのサイバーセキュリティのリスクと脆弱性を認識していたが、問題を解決できなかったり、時には社内で十分に問題を提起できなかったと主張している」と。 「これらの失態の結果、同社は主力製品である Orion 製品を含む最も貴重な資産が適切に保護されているという合理的な保証も提供できなかったとされています。」

SECの訴状は、サイバーセキュリティに関するSolarWindsの公式声明は、同社のポリシー違反、脆弱性、サイバー攻撃に関する内部評価とは「まったく異なる状況を描いた」ものであり、「SolarWindsのサイバーセキュリティ慣行、制御、およびリスクの真の状態が最終的に明らかになったのは、SolarWindsの不適切なサイバーセキュリティ慣行の一部を悪用し、数千のSolarWinds社に影響を与えた大規模なサイバー攻撃の後でのみ明らかになった」と指摘した。お客様。」

同社の以前の SEC への提出書類では、自然災害、停電、火災、通信障害、従業員の盗難などと並んでサイバー攻撃をリスクの広範なリストにまとめており、既知のサイバー リスクに対処していないとされています。電子メール、メッセージ、文書を含む内部コミュニケーションには、一般公開には含まれていない多数の既知の重要なサイバーセキュリティ リスクと脆弱性が記述されている、と SEC は述べています。

「当社は、ソーラーウィンズ社とブラウン社が何年にもわたって、ソーラーウィンズのサイバーリスクに関する度重なる危険信号を無視していたと主張します。この危険信号は社内でよく知られており、ブラウン社の部下の一人は『当社はセキュリティ志向の企業とは程遠い』と結論づけました」とSEC執行部ディレクターのガービル・S・グレワル氏はプレスリリースの中で述べた。 「これらの脆弱性に対処するのではなく、ソーラーウィンズとブラウンは、同社のサイバー管理環境について誤ったイメージを描き、投資家から正確な重要情報を奪うキャンペーンに従事しました。今日の執行措置は、一般投資家を誤解させ、同社の『最高の宝石』資産を保護しなかったとしてソーラーウィンズとブラウンを告発するだけでなく、リスク環境に合わせて調整された強力な管理を導入し、既知の懸念事項について投資家と同等であるという当社の発行体へのメッセージを強調するものでもあります。」

SEC の告発が公表された後の声明で、SolarWinds CEO の Sudhakar Ramakrishna 氏、SUNBURST の侵害発見に対する迅速な対応を挙げ、「まさに米国政府が奨励しようとしているものです。」

「問題の真実は、SolarWinds が SUNBURST よりも前から適切なサイバーセキュリティ管理を維持しており、それ以来、進化する業界標準とますます高度化するサイバーセキュリティ脅威に基づいてエンタープライズ ソフトウェア セキュリティの継続的な改善において先頭に立ってきたということです。これらの理由により、私たちは SEC によるこの行動に断固として反対します。」と彼は続けた。

SUNBURST 攻撃だけが SEC 告訴の理由ではありません。たとえ SolarWinds がハッキングされていなかったとしても、セキュリティに関する虚偽の記述は証券法に違反することになるということ。

SEC はアプローチを根本的に変えるサイバーセキュリティの脆弱性と暴露。あこの夏に施行され、2023 年 12 月に完全施行される予定です。登録者は 4 営業日以内にサイバー インシデントを報告し、サイバーセキュリティ体制についてより透明性を高める必要があります。

「企業が火災で工場を失うか、サイバーセキュリティインシデントで何百万ものファイルを失うかは、投資家にとって重要かもしれない」とSEC委員長のゲイリー・ゲンスラー氏は声明で述べた。 「現在、多くの上場企業が投資家にサイバーセキュリティの開示を提供しています。しかし、この開示がより一貫性があり、比較可能で、意思決定に役立つ方法で行われれば、企業も投資家も同様に利益を得るでしょう。企業が重要なサイバーセキュリティ情報を開示することを保証することを支援することで、今日の規則は投資家、企業、そしてそれらをつなぐ市場に利益をもたらすでしょう。」

SolarWinds の侵害と、サプライ チェーン管理、サイバー スパイ活動、リスク軽減に対する攻撃の進行中の影響について詳しく学ぶここ.

幹部の保護に重点を置く

高速道路特急誘拐: 予防、回復力、被害後の課題

今日、アクティビズムと経営陣のリスクがどのように融合しているか

幹部を暴露するデジタル ブレッドクラム

最高のセキュリティ管理

より安全な未来のための精度: LiDAR ソリューションを採用する空港のメリット

EP トレンド: 住宅リスク、過激派影響力者、戦術の変化

医療訪問者管理におけるセキュリティのギャップを見つけて埋める

カジノサイト の調査は、セキュリティの進化するビジネス上の役割を測定することを目的

暴力のための暴力: 非イデオロギー的過激主義を理解する

危機介入が学校のプロアクティブなセキュリティにどのように影響するか
arrow_upward