Em um desenvolvimento que gerou conversas e debates no mundo da segurança cibernética, a ação movida pelo a Comissão de Valores Mobiliários dos EUA (SEC) contra o Diretor de Segurança da Informação (CISO) da SolarWinds está deixando os CISOs de todo o setor assustados e reavaliando suas funções.
O processo alega que o ex-CISO da SolarWinds, Timothy Brown, não divulgou informações críticas sobre o enorme ataque cibernético à cadeia de fornecimento de software da empresa que ocorreu no final de 2020. O ataque complexo, amplamente atribuído a hackers russos patrocinados pelo Estado, comprometeu as redes de várias agências governamentais. e corporações que dependiam dos produtos da SolarWinds. A violação foi um evento significativo no mundo da segurança cibernética, levando a um frenesi de investigações e escrutínio regulatório.
O processo da SEC é um raro exemplo de um órgão regulador que visa um CISO por alegada má gestão de riscos de segurança cibernética. A ação alega que o ex-CISO estava ciente das vulnerabilidades nos sistemas da SolarWinds, mas não as divulgou adequadamente aos investidores da empresa, levando a declarações enganosas nos registros da SolarWinds junto à SEC.
Especialistas do setor expressaram opiniões divergentes sobre o processo da SEC. Alguns vêem isso como um passo necessário para responsabilizar os CISOs pelas suas ações ou omissões quando se trata de segurança cibernética. Eles argumentam que os CISOs desempenham um papel crucial na proteção dos ativos digitais de uma empresa e devem ser transparentes com a sua organização e com os reguladores sobre ameaças potenciais.
“O litígio da SEC contra a SolarWinds fará mais para promover a segurança do que faria outra década de violações”, Jake Williams, um proeminente especialista em segurança cibernética escreveu em uma postagem no X. “Os CISOs são frequentemente espancados até a submissão sob a ameaça de perder seus empregos. A SEC deu-lhes a granada de mão sagrada para lutar contra qualquer pressão para enganar.”
No entanto, outros, incluindo a própria SolarWinds, argumentam que este processo abre um precedente preocupante. Eles temem que os CISOs possam ficar hesitantes em partilhar informações sobre ameaças cibernéticas dentro das suas organizações, preocupados que qualquer divulgação possa expô-los a ações legais. Isto, dizem eles, poderia prejudicar a capacidade da indústria de responder eficazmente aos ataques cibernéticos e proteger dados sensíveis.
“As acusações da SEC agora colocam em risco o compartilhamento aberto de informações em todo o setor que os especialistas em segurança cibernética concordam ser necessário para nossa segurança coletiva”, Sudhakar Ramakrishna, presidente e CEO da SolarWinds, anotado em uma postagem do blog abordando as acusações. “Eles também correm o risco de privar profissionais sérios de segurança cibernética em todo o país, tirando esses guerreiros cibernéticos da linha de frente. Preocupo-me que estas ações irão impedir o crescimento de parcerias público-privadas e uma partilha mais ampla de informações, tornando-nos ainda mais vulneráveis a ataques à segurança.”
Em resposta ao processo, muitos CISOs e profissionais de segurança cibernética analisarão mais de perto as suas próprias funções e responsabilidades. Muitos consultarão equipes jurídicas para garantir que tenham uma compreensão clara dos potenciais riscos jurídicos associados às suas posições. Outros irão certamente rever as suas práticas de divulgação para encontrar um equilíbrio entre transparência e responsabilidade potencial.
O processo da SolarWinds destacou a natureza evolutiva das responsabilidades dos CISOs. Não mais limitados apenas ao gerenciamento de medidas técnicas de segurança, espera-se cada vez mais que os CISOs sejam comunicadores hábeis, traduzindo ameaças complexas de segurança cibernética em uma linguagem que suas equipes executivas, conselhos e reguladores possam entender.
“A manchete aqui está no parágrafo 10 da reclamação legal: as comissões e declarações falsas sobre segurança teriam violado as leis de valores mobiliários mesmo se a SolarWinds não tivesse sido o alvo. O fato de terem sido alvos serviu apenas para destacar as questões”, disse Williams. Semana de Segurança.
“Os CISOs, especialmente os de empresas de capital aberto, devem fazer um balanço dos seus programas de segurança e garantir que o que está a ser comunicado ao público está enraizado na realidade, em vez de em distorções e ilusões”, acrescentou. “Para aqueles que trabalham em organizações privadas, a SEC está estabelecendo um novo padrão para divulgações de segurança com este processo. Não se surpreenda ao ver esse padrão usado em litígios se você fizer declarações falsas, incompletas ou enganosas sobre segurança a clientes ou parceiros de negócios.”
Resta saber como se desenrolará o processo contra o ex-CISO da SolarWinds e quais implicações isso terá para a indústria de segurança cibernética como um todo. Independentemente do resultado, serve como um forte lembrete de que o papel dos CISOs está em constante evolução e que devem navegar num cenário complexo de desafios legais e regulamentares.