A Comissão de Valores Mobiliários dos EUA (SEC) anunciou esta semana acusações contra a SolarWinds e seu diretor de segurança da informação (CISO) por supostamente enganar investidores sobre práticas e riscos de segurança cibernética nos dois anos que antecederam a divulgação de um ataque de hacker significativo.
A empresa de gerenciamento de TI com sede no Texas, no final de 2020, divulgou uma violação massiva que resultou na entrega de malware a grandes organizações.
Poucos meses depois que os executivos da SolarWinds foram notificados pela SEC sobre possíveis ações de fiscalização relacionadas a este ataque cibernético à cadeia de suprimentos, a agência anunciou agora acusações contra a empresa e seu CISO, Timothy Brown.
A SEC afirma (arquivando PDF) que os registros da SolarWinds entre seu IPO de outubro de 2018 e a divulgação da violação enganaram os investidores ao mencionar apenas “riscos genéricos e hipotéticos”, enquanto Brown supostamente sabia de problemas específicos de segurança cibernética e “riscos cada vez mais elevados”.
A denúncia da agência acusa Brown de estar ciente dos riscos e vulnerabilidades de segurança cibernética da empresa, mas não ter conseguido resolvê-los. A SEC também afirma que a SolarWinds fez uma divulgação incompleta em dezembro de 2020, quando o incidente veio à tona.
As acusações estão deixando os CISOs de todo o setor assustados e reavaliando suas funções.
Profissionais do setor comentaram sobre as implicações das cobranças da SEC para CISOs e organizações e compartilharam recomendações sobre como podem evitar acabar em uma situação semelhante.
E o feedback começa…
Igor Volovich, vice-presidente de estratégia de conformidade, Qmulos (Comentários adicionais):
“Embora a maioria esteja se concentrando no Sr. Brown, o CISO da empresa, a verdadeira história provavelmente não é tanto sobre declarações falsas propositais ou má conduta, mas sim um exemplo da natureza divorciada da segurança cibernética do risco corporativo, conformidade e funções regulatórias normalmente gerenciadas pelo Equipe jurídica. Apesar de a SEC estar apresentando o relatório interno do CISO sobre deficiências de segurança, justaposto aos registros regulatórios contraditórios da SolarWinds que negam qualquer conhecimento de deficiências materiais, como “evidência de prevaricação” e “fraude de acionistas”, o cenário mais provável é que nenhum dos as pessoas responsáveis pelos registros regulatórios corporativos compreenderam ou reconheceram a importância das questões de segurança relatadas no contexto de “deficiências materiais reportáveis”, conforme definido pela SEC. Se se trata de negligência ou prevaricação é o que o processo judicial tentará determinar.
Os CISOs também precisam estar cientes das proteções especiais oferecidas aos denunciantes corporativos no âmbito da recém-criada Iniciativa Civil de Fraude Cibernética do DOJ e da Lei de Reivindicações Falsas, bem como medidas e incentivos semelhantes oferecidos pela SEC. Os líderes de segurança corporativa devem estar cientes de sua própria responsabilidade e de sua responsabilidade jurídica individual, incluindo a exposição potencialmente criminosa em casos em que se encontrem na posição nada invejável de terem relatado problemas de segurança significativos internamente com pouco ou nenhum efeito, ao mesmo tempo em que estão cientes de relatórios externos imprecisos de postura de segurança corporativa na forma de registros regulatórios, representações contratuais ou avaliações imprecisas de terceiros com base em dados internos falsificados.
Todos os conselhos de administração devem tomar conhecimento e reconhecer uma verdade simples: a cibersegurança não é uma função tecnológica, o risco cibernético é risco e os problemas de segurança – especialmente os sistémicos e persistentes – tendem a cair na categoria de “deficiências materiais reportáveis”. A SEC está alertando todos os conselhos e executivos corporativos: a negação plausível está fora, a transparência da segurança cibernética está em vigor e todos os membros do alto escalão são responsáveis, não apenas a pessoa com o título de cortesia de CISO, cujo “C” silencia todos os outros vezes até uma violação ou investigação regulatória.”
Petri Kuivala, Conselheiro Diretor de Segurança da Informação, Hoxhunt:
“Mesmo que eu acredite fortemente que esta decisão da SEC foi correta e tinha que ser tomada, ela também empurra as empresas que têm uma cultura de “varrer o problema para debaixo do tapete” a irem ainda mais fundo no assunto. Por isso, espero que a comunidade CxO, juntamente com os seus CISOs, CIOs, CTOs e outras partes interessadas relevantes, tenham conversas profundas sobre a sua abordagem no futuro.
O trabalho do CISO é difícil, mas qualquer outro trabalho com um “C” na frente do título também o é. Isto significa que os CISOs precisam ser capazes de transmitir mensagens verdadeiras aos tomadores de decisão sem confundi-los com todos os detalhes essenciais. É difícil ser o portador de más notícias para o seu nível C e isso requer uma imensa quantidade de preparação e coleta de dados. Isso é o que se espera de um CISO. Eles são tomadores de decisão e isso vem com responsabilidade.
Tudo isso é fácil de dizer a milhares de quilômetros de distância, em retrospectiva, e a situação pode ser mais como “ferver o sapo” em vez de perceber de repente que os valores de alguém não estão alinhados com os da empresa.”
Agnidipta Sarkar, vice-presidente de consultoria CISO, ColorTokens:
“Isso pode muito bem encerrar a carreira de Tim Brown e não será um bom presságio para a função de CISO no futuro. Considerando que o CISO enviou relatórios e a liderança optou por agir de acordo com alguns, o CISO ainda seria responsável se alguém ignorasse o que o CISO disse? Muito do que está na reclamação é verdade para quase todas as organizações. Se o que eles relataram foi tão ruim, como eles provavelmente passaram nas auditorias do FedRAMP por vários anos?
Depois disso, a função do CISO ficará perpetuamente em má reputação. A realidade é (e isto tornou-se um cliché agora) que o atacante cibernético só precisa de ter sucesso uma vez, mas o defensor cibernético precisa de ter sucesso sempre. E isso torna o CISO uma função muito complexa. A menos que alguém esteja alerta, é fácil encontrar-se subitamente à mercê de forças externas em uma escala à qual nenhum outro CXO está exposto.
Todos os candidatos a CISO no futuro procurarão garantias, e alguns poderão não estar dispostos a estar nesse lugar. Os CISOs nos EUA insistirão numa bateria de advogados, seguros e cobertura de indemnização e no mesmo nível de cobertura que um CEO obtém. Talvez, e pensando positivamente, os cargos de CISO agora serão igualmente apoiados pelos conselhos, assim como o CEO.
Acredite em mim, se isso criar um precedente, ser CISO seria um desejo de morte. As novas descrições de cargos colocarão um aviso legal – “Os empregos de CISO podem ser extremamente prejudiciais para sua saúde e sua carreira, junte-se por sua própria conta e risco?” O tempo dirá e avaliarei essa opinião depois que a poeira baixar sobre isso.
E Deus me livre se você entrar na segurança cibernética da TO… esse é um nível de complexidade totalmente diferente.”
Francesco Trama, CEO, fundador, PacketViper (Comentários adicionais):
“As acusações da SEC contra o CISO da SolarWinds deveriam ser um alerta para toda a indústria, mas correm o risco de se tornarem uma sentença de morte para o papel do CISO. Ao fazer de um indivíduo um exemplo, a SEC está inadvertidamente enviando uma mensagem: “Torne-se um CISO por sua própria conta e risco”. Isto não é apenas contraproducente; é perigoso.
Já é hora de os Conselhos e CEOs assumirem a responsabilidade. Eles precisam ser educados sobre as complexidades da segurança cibernética e devem ser igualmente responsabilizados pelas falhas. A segurança cibernética não é uma questão de TI; é uma questão comercial que afeta os resultados financeiros, a reputação da marca e a confiança do cliente.
Se as ações da SEC servirem para dissuadir indivíduos qualificados de se tornarem CISOs, estaremos nos preparando para um futuro repleto de incidentes de segurança cibernética evitáveis. Em vez de jogar o jogo da culpa, vamos nos concentrar na criação de um ambiente onde o CISO seja capacitado, apoiado e, o mais importante, não esteja preparado para falhar.”
George Jones, Diretor de Segurança da Informação, Critical Start:
“Isso pode ter um efeito inibidor sobre outros CISOs, fazendo com que sejam mais cautelosos ao fornecer informações imprecisas ou incompletas aos investidores ou ao público. Poderia também levar a um aumento da transparência e da precisão na comunicação de práticas de cibersegurança.
Acredito que isso aumentará a escassez de CISOs qualificados que já existe. A procura de trabalhadores qualificados em cibersegurança é elevada devido à crescente importância no mundo digital de hoje, mas tais ações legais podem dissuadir alguns indivíduos de assumir funções de CISO ou torná-los mais avessos ao risco.
Se ele estivesse conscientemente enganando os investidores, deveria ter sido acusado. Há alguma dúvida sobre o quanto ele sabia sobre as lacunas de segurança, e poderia haver uma negação plausível, mas eu esperaria estar perfeitamente ciente das lacunas de segurança cibernética que existem sob minha alçada e aceitá-las como um risco conhecido ou ter um plano no roteiro para remediá-los.
Em situações em que existe um risco significativo para uma organização, é responsabilidade do CISO levar esse risco ao CEO e ao Conselho de Administração para conscientização. Se o grupo aceitar o risco, este deverá ser registado no registo de riscos da empresa como um item conhecido que foi apresentado e aceite no seu estado operacional. Ter um Comitê Diretor de Governança de Risco permite que uma organização socialize essas questões e adote uma abordagem de grupo para discutir possíveis riscos e soluções, priorizando riscos e alcançando a adesão organizacional na aceitação de riscos. O resultado deste comitê é apresentado ao BoD para revisão e consideração, permitindo ao CISO fornecer conscientização e compreensão do mais alto nível do cenário.”
Dave Stapleton, CISO, ProcessUnity:
“Se as alegações forem precisas, então a minha sincera esperança é que este caso, e outros semelhantes, se tornem um exemplo de supervisão regulatória que leve a uma mudança material nos comportamentos de segurança. É demasiado comum que os líderes de segurança ofusquem os riscos para evitar o escrutínio. A falta de conhecimento real sobre segurança cibernética nas equipas executivas e nos conselhos de administração pode tornar este tipo de prática mais comum porque não há ninguém que possa desafiar a “realidade” apresentada pelos CISOs.
Estas ações legais podem dissuadir alguns aspirantes a CISOs, o que é decepcionante. Ninguém exige perfeição. Ninguém está dizendo que o risco deve ser reduzido a zero. Exigem simplesmente transparência e esforços de boa-fé para proteger sistemas e dados sensíveis. Os CISOs que são adequadamente apoiados pelos seus executivos e têm o poder de falar a verdade, mesmo quando pode haver consequências para o negócio, têm pouco a temer. A questão é: quantos CISOs realmente sentem esse tipo de apoio?
Como CISOs, precisamos exigir coletivamente mais de nós mesmos e das organizações que servimos. Vamos realizar nossa própria diligência antes de aceitar cargos de CISO. Esta organização leva a sério a segurança cibernética? Eles têm um histórico de fazer a coisa certa mesmo quando a coisa certa é difícil? Provaram a sua sinceridade ao garantir que os riscos cibernéticos e de privacidade são divulgados aos mais altos níveis da empresa? Se a resposta a este tipo de perguntas for “Não”, então devemos agir com integridade para desafiar os decisores a fazerem melhor.”
Jeff Pollard, vice-presidente, analista principal, Forrester (Comentários adicionais):
“Todo este episódio é assustador para os líderes de segurança, mas se há uma fresta de esperança, está aqui. Esta é a SEC endossando os CISOs para que parem de ficar calados sobre as falhas de segurança. Colocar em destaque as falhas flagrantes de segurança cibernética não é mais a “opção nuclear”, segundo a SEC. É a maneira de os CISOs evitarem correr riscos legais pessoais por não os levantarem em voz alta o suficiente internamente.
Ignorar a segurança cibernética e não proteger o que você vende não é uma opção para empresas de capital aberto. Até agora, temos apenas o lado dos acontecimentos da SEC. Mas outros líderes tecnológicos deveriam prestar especial atenção a esta ação legal, particularmente aos detalhes da defesa de Brown. Porque, se descobrirmos que Brown não conseguiu agravar estas questões e enterrá-las, isso parecerá terrível para ele.
Isso também deve preocupar outros executivos de nível C e líderes de tecnologia, especialmente CIOs e CTOs. Os líderes tecnológicos que trabalham com líderes de segurança cibernética que aumentam as falhas apenas para que sejam ignoradas, despriorizadas ou negligenciadas podem se tornar a próxima pessoa acusada pela SEC.”