رئيس الأمن في SolarWinds يدعو إلى تشديد القوانين السيبرانية
ابق على اطلاع بالتحديثات المجانية
ببساطة قم بالتسجيل في الأمن السيبراني myFT Digest – يتم تسليمه مباشرة إلى صندوق الوارد الخاص بك.
دعا أول رئيس إلكتروني يقاوم جهود هيئة الأوراق المالية والبورصة الأمريكية لتحميله المسؤولية الشخصية عن الاختراق الروسي الضخم، المنظمين العالميين إلى إقرار قوانين أكثر صرامة للأمن السيبراني.
واجه تيم براون، كبير مسؤولي أمن المعلومات في شركة SolarWinds، دعوى قضائية تاريخية اتهمته هو والشركة بتضليل المستثمرين من خلال عدم الكشف عن “المخاطر المعروفة” وتمثيل التدابير الأمنية للشركة بشكل غير دقيق.
وفي حديثه مع صحيفة فايننشال تايمز في أول مقابلة له منذ أن رفضت محكمة فيدرالية الشكوى إلى حد كبير في يوليو، حذر براون من أن اللوائح السيبرانية العالمية لا تزال “في حالة تغير مستمر”، الأمر الذي “يزيد بالتأكيد الضغط في جميع أنحاء العالم” على رؤساء الإنترنت.
قال براون: “عندما لا يكون لديك قواعد يجب اتباعها، يكون من الصعب جدًا اتباعها”. وأضاف: “قلة قليلة من رجال الأمن قد يفعلون شيئًا غير صحيح، ولكن عليك فقط أن تخبرنا ما هو الصواب حتى تتمكن من القيام بذلك”.
كانت شركة SolarWinds شركة غير معروفة لسلسلة توريد تكنولوجيا المعلومات ومقرها أوستن حتى تم اختراقها من قبل قراصنة روس كجزء من حملة تجسس مترامية الأطراف في عام 2020.
جاءت الدعوى القضائية التي رفعتها هيئة الأوراق المالية والبورصة وسط سعي الهيئة لاستهداف المخاطر السيبرانية بشكل أكثر قوة في عهد الرئيس غاري جينسلر، بالإضافة إلى إشارات قوية من جانبها والسلطات الأخرى بأن الأفراد يمكن أن يتحملوا مسؤولية الاختراقات.
في العام الماضي، حكمت السلطات الأمريكية على جو سوليفان، كبير مسؤولي الأمن السابق في أوبر، بالسجن لمدة ثلاث سنوات وغرامة قدرها 50 ألف دولار بتهمة التستر على خرق البيانات من عام 2016. وكانت هذه أول محاكمة جنائية لأحد المسؤولين التنفيذيين في الشركة بشأن التعامل مع البيانات. يخرق.
أدخلت هيئة الأوراق المالية والبورصات قواعد إلكترونية جديدة في العام الماضي حول الكشف عن خروقات البيانات، بالإضافة إلى إجبار الشركات العامة على تحديد عناصر عمليات إدارة المخاطر السيبرانية واستراتيجياتها وحوكمتها في تقاريرها السنوية.
وأعرب براون عن أمله في أن تسير القواعد التنظيمية العالمية المتعلقة بالأمن السيبراني في الاتجاه الصحيح. وقال إن المتخصصين في مجال الأمن سيستفيدون من المعادل الإلكتروني لقانون ساربينز-أوكسلي، الذي تم إقراره في عام 2002 بعد فضيحة إنرون.
“عليك أن تتذكر أن القضايا السيبرانية عمرها من 20 إلى 30 عامًا. وهناك قضايا تنظيمية أخرى عمرها مئات السنين. . . وأضاف: “لذلك نحن مجرد نوع من اللحاق بنضج هذا النموذج”.
واعتبرت الدعوى، التي استشهدت بالاتصالات الداخلية بين براون وموظفين آخرين في شركة SolarWinds، بمثابة نقطة تحول لهذه الصناعة. وحذر المحامون الذين يمثلون المتخصصين في مجال الأمن من أن ذلك قد يؤدي إلى “تقويض” الجهود الداخلية التي يبذلها متخصصو الإنترنت لتحسين أمن الشركة خوفًا من إمكانية إخراج تعليقاتهم لاحقًا من سياقها واستخدامها ضدهم.
حكم قاضي المقاطعة بول إنجلماير في يوليو/تموز الماضي بأن محاولة هيئة الأوراق المالية والبورصة تطبيق القواعد المحاسبية على عمليات الأمن السيبراني “لا يمكن الدفاع عنها”. لقد رفض معظم الدعاوى المرفوعة ضد شركتي SolarWinds وBrown، لكنه أيد ادعاءً واحدًا بالاحتيال في الأوراق المالية بناءً على بيان نشرته SolarWinds على موقعها الإلكتروني الخاص بالشركة.
وقال متحدث باسم شركة SolarWinds في بيان إن الشركة تخطط لمحاربة التهمة المتبقية، والتي وصفوها بأنها “غير دقيقة في الواقع”. ورفضت هيئة الأوراق المالية والبورصات التعليق.
وقال براون إن الدعوى القضائية، على الرغم من كونها غير مريحة على المستوى الشخصي، إلا أنها ساعدت في إعطاء المتخصصين في مجال أمن الشركات صوتًا على المستوى التنفيذي.
وقال: “إن ذلك يشكل ضغطاً، ولكنه أيضاً نقطة انعطاف”. “لقد رفعت [chief information security officer] الموقف والتأكد من أن مجالس الإدارة تجري هذه المحادثات.
وانضم براون هذا الشهر إلى المجلس الاستشاري لشركة Cytactic الإسرائيلية لإدارة الأزمات، لكنه قال إنه لا يزال ملتزما بالبقاء في منصبه في SolarWinds.
“فيما يتعلق بالحادث الذي وقع في SolarWinds: لقد حدث أثناء مراقبتي. هل كنت أنا المسؤول في نهاية المطاف؟ حسنًا، لا، لكن هذا حدث أثناء ساعتي وأريد تصحيح الأمر.
أعلنت الشركة عن إيرادات بقيمة 193 مليون دولار في الأشهر الثلاثة حتى يونيو، بانخفاض من 246 مليون دولار في نفس الفترة من عام 2020، قبل الكشف عن الاختراق. بدأت الأسهم في التعافي من أدنى مستوياتها في عام 2022، لكنها لا تزال منخفضة بأكثر من 40 في المائة منذ ما يسمى بحادثة Sunburst.
