Piše: Tomislav Pongrac
Vjerojatno ste čuli za SEC. To je američka agencija koja se brine za održavanje fer tržišta i jednak pristup informacijama o kompanijama izlistanima na burzi. SEC je nedavno objavio da je podigao optužnicu protiv kompanije SolarWinds i njihovog CISO-a.
Za što ih (ga) optužuju? Glavna tema je prevara vezana uz rizike i ranjivosti kibernetičke sigurnosti firme. Zašto prevara? Da su firma i njihov CISO svjesno obmanuli investitore time što su u poslovnim izvještajima prešućivali dobro im poznate rizike i ranjivosti.
Priča otvara dosta pitanja, pa sam post podijelio u 2 dijela. U prvom dijelu pričam o tom slučaju i iznosim jednu hipotezu. U drugom dijelu pokušavam dokazati hipotezu i donijeti zaključak.
OK, kompanija je optužena, ali zašto i CISO?
Glavna tema mnogih komentara je bila zakonska odgovornost CISO-a. Ljudi su bili opravdano iznenađeni. Kako je moguće da CISO kazneno odgovara za sigurnosne propuste? Pravna strana priče mi je izvan zone kompetencije, pa ovdje mogu pretpostavljati. Ono što sam shvatio iz optužnice je da su ga optužili jer je kao dužnosnik (officer) prešutio ranjivosti iako je za njih znao. Bio je zadužen za ovjeru sigurnosnih izvještaja koji su bili osnova za izvještaje koje je SolarWinds prijavljivao SEC-u i investitorima. Ovjerio je izvještaje koji su, prema SEC-u, bili lažni. Konačnu riječ o njegovoj krivnji će dati američki sud.
Uloga osobe odgovorne za kibernetičku sigurnost sigurno podrazumijeva upozoravanje i izvještavanje o ranjivostima. Pogotovo onima koje mogu utjecati na poslovne funkcije ili reputaciju firme. Zvuči jednostavno. Ali nije baš tako. Ima i druga strana priče. Možda ste propustili nedavnu vijest da je bivši CISO Twittera (sad X) tužio firmu zbog neopravdanog otkaza. Razlog otkaza? On tvrdi da je razlog to što je ukazao na ranjivosti koje će se otvoriti zbog smanjenja ulaganja u fizičku i digitalnu sigurnost.
Biti dobar CISO nije lako. Uloga zaista izgleda kao iz pjesme Between a rock and a hard place.
Komentari o ulozi CISO-a su bili dominantni. Druga grupa komentara koje sam vidio odnosila se na obavezne moralne prodike SolarWindsu – kako su mogli imati ovakve ranjivosti. Pa oni su ozbiljna kompanija koja proizvodi ozbiljan software – kako im se to moglo dogoditi? Neki drugi prigovaraju i SEC-u da je šlampavo sastavio optužnicu pa su im neki elementi iz optužnice slabo tehnički potkrijepljeni.
Meni je pažnju zaokupila jedna druga strana priče.
Naknadna pamet
Postoji jedan dio optužnice u kojem SEC tvrdi da bi ovakve lažne izjave predstavljale kršenje zakona i da nije bilo ovako velikog napada, ali su one postale “bolno jasne” (prijevod je moj) nakon samog napada.
Osnovna optužba SEC-a je da je SolarWinds znao za ranjivosti ali ih nije adekvatno prijavio u svojim godišnjim poslovnim izvještajima. Tj. cyber security rizike je utrpao zajedno s prirodnim nepogodama, vatrom i nestankom struje. Moja hipoteza je da je to potpuno razumljivo i očekivano. Popis ranjivosti i izradu izvještaja su radili kad im se kibernetički napad činio jednako vjerojatan kao poplava ili neka druga prirodna nepogoda.
Ne kažem da je zanemarivanje ili umanjivanje ranjivosti dobro. Dapače – protiv takvih praksi se trebamo boriti, ali one su nažalost vrlo česte. Ranjivosti postaju (kako kaže SEC – bolno) jasne tek kad se dogodi napad. Naknadno!
I to je osnova hipoteze o naknadnoj pameti. Dokaz i zaključak u drugom dijelu!