Hvad virksomheder kan lære af SolarWinds-hacket og SEC-afgifterne
Indholdsfortegnelse:
Det er tre år siden, at det amerikanske softwarefirma SolarWinds blev offer for et af historiens mest betydningsfulde cyberangreb. Hændelsen, som først kom frem i december 2020, så russiske hackere bryde SolarWinds' populære Orion-netværk og applikationsovervågningssoftware over to år.
Når de først var inde i SolarWinds tekniske infrastruktur, skabte og sendte cyberkriminelle ondsindede softwareopdateringer til tusindvis af virksomheder og organisationer, der brugte Orion-softwaren til at administrere deres it-miljøer.
Svimlende 18,000 Orion-brugere installerede ubevidst de malware-rede opdateringer, hvilket gjorde det muligt for hackerne at få adgang til deres it-netværk, computersystemer og data, samt målrette deres kunder og andre interessenter.
Hacket ramte flere amerikanske regeringsorganer, herunder Homeland Security, State, Treasury and Commerce, og store virksomheder som Microsoft, Intel, Cisco, Deloitte og FireEye, som rapporteret af TechTarget. Bruddet var så alvorligt og vidtrækkende, at Microsofts præsident Brad Smith beskrevet det som "det største og mest sofistikerede angreb, verden nogensinde har set".
Spol frem til 2023, SolarWinds står stadig over for følgerne af dette rekordstore cyberangreb. I oktober meddelte US Securities and Exchange Commission (SEC), at det ville tage retslige skridt mod SolarWinds og anklage tech-firmaet for at vildlede investorer om dets cybersikkerhedspraksis og -risici.
Dette hack, kombineret med de nylige SEC-anklager mod SolarWinds, fremhæver behovet for, at virksomheder tager den stigende cyberkriminalitet alvorligt ved at forstå og anvende robuste informationssikkerhedspraksis. Det præsenterer også værdifulde forretningslæringsmuligheder, hvoraf mange vil udforske i dette blogindlæg.
Forstå SEC-afgifterne
En af de mest betydningsfulde ting ved disse SEC-afgifter er, at de ikke kun er rettet mod SolarWinds, men også informationssikkerhedschef Timothy G. Brown.
SEC hævder, at SolarWinds mellem dets børsnotering i oktober 2018 og meddelelsen om cyberangreb i december 2020 "svindlede investorer" ved at overdrive sin cybersikkerhedspraksis samt ved at nedtone og ikke afsløre cybersikkerhedssårbarheder, som den kendte til.
I en pressemeddelelse, hævder det amerikanske regeringsagentur, at SolarWinds kun fortalte investorer om "generiske og hypotetiske risici", selvom SolarWinds og Brown var opmærksomme på "specifikke mangler i SolarWinds' cybersikkerhedspraksis" og "stadig mere forhøjede risici". SEC hævder, at SolarWinds fremsatte vildledende offentlige udtalelser om sin cybersikkerhedsposition, der modsiger interne evalueringer.
For eksempel oprettede og distribuerede en SolarWinds-ingeniør en intern præsentation, der advarede om, at virksomhedens fjernadgang ikke var "meget sikker", og at hackere "dybest set kunne gøre hvad som helst, uden at vi opdager det, før det er for sent". Præsentationen, som Brown havde set, advarede også om "stort omdømme og økonomisk tab", hvis en hacker udnyttede denne sårbarhed.
I andre krav mod SolarWinds fra SEC skrev Brown angiveligt i en præsentation, at "den nuværende sikkerhedstilstand efterlader os i en meget sårbar tilstand for vores kritiske aktiver". Han hævdes også at have kaldt kritisk system- og dataadgang og privilegier for "upassende" i en anden præsentation, blandt andre tilfælde, hvor han angiveligt rejste cybersikkerhedsproblemer internt.
SEC har anklaget Brown for at undlade at "løse problemerne" og "tilstrækkeligt rejse dem yderligere i virksomheden" i træk, der betød, at SolarWinds ikke var i stand til at "give rimelige forsikringer om, at dets mest værdifulde aktiver, herunder dets flagskib Orion-produkt, var tilstrækkeligt beskyttet”. Det presser nu på for "permanent påbudsfritagelse, disgorgement med forhåndsvurderingsrenter, civile sanktioner, og en officer og direktør bar mod Brown".
Business læring
Mange virksomheder kan tage vigtige erfaringer med sig for at forbedre deres cybersikkerhedsstilling ved at vurdere det berygtede SolarWinds-hack og de seneste SEC-anklager.
Den måske mest betydningsfulde læring er, at SolarWinds-bruddet viser, at "selv de mest sofistikerede og etablerede enheder ikke er immune over for cybertrusler", ifølge ISMS.online CTO Sam Peters.
Efterhånden som cybertrusler bliver mere komplekse og almindelige i kølvandet på SolarWinds-bruddet, skal virksomheder sikre, at de har midlerne til at identificere, vurdere og administrere dem. Dette bør involvere "kontinuerlig årvågenhed, regelmæssige vurderinger og vedtagelse af en proaktiv cybersikkerhedstankegang", siger Peters.
Den bedste måde at håndtere nye og nye cybersikkerhedstrusler på er ved at følge industriens bedste praksis, lovgivningsmæssige krav og anerkendte rammer som ISO/IEC 27001 og NIST Cybersecurity Framework som en del af en "kultur af sikkerhedsbevidsthed".
Peters forklarer: "De er forretningsmæssige nødvendigheder i nutidens digital-first-landskab. Som teknologiledere skal vi se cybersikkerhed ikke som en selvstændig funktion, men som et integreret, grundlæggende aspekt af vores overordnede forretningsstrategi."
Ved at følge rammer som ISO/IEC 27001 skal virksomheder overholde forskellige tekniske kontroller for at sikre deres netværk, systemer og data. Peters forklarer, at de skal definere, overvåge og gennemgå administration af brugeradgang, kontroller og ansvar ud over at bruge stærke kryptering og nøglehåndteringsprotokoller. At tage disse trin er nøglen til at "sikre datafortrolighed selv under brud".
Peters anbefaler også, at virksomheder udfører sårbarhedsvurderinger regelmæssigt, så de kan identificere og rette softwarefejl, som ellers kunne give en bagdør til følsomme systemer for hackere. Implementering af en veldokumenteret håndtering af informationssikkerhedshændelser Processen vil også gøre det muligt for virksomheder at identificere, rapportere og administrere brud, efterhånden som de sker.
Ud over at fremhæve vigtigheden af at følge industriens bedste praksis og rammer, viser SolarWinds-hændelsen også, at due diligence af leverandører er afgørende for at afbøde cyberangreb. Peters anbefaler, at virksomheder "altid kontrollerer tredjepartssoftware med samme strenghed som interne systemer".
Luke Dash, administrerende direktør for ISMS.online, mener, at den vigtigste lektie, virksomheder kan lære af SolarWinds-bruddet, er, at cybersikkerhed er "en kontinuerlig rejse, ikke en destination". Mens investering i teknologi kan hjælpe med at bekæmpe cyberkriminalitet, siger Dash, at organisationer også skal investere i deres folk ved konstant at træne dem i cybersikkerhedstrusler og bedste praksis.
Han anbefaler også, at der oprettes en hændelsesplan for at forberede sig på fremtidige trusler og fremme en arbejdspladskultur baseret på åben kommunikation. Dette vil sikre, at "medarbejdere føler sig trygge ved at rapportere mistænkelige aktiviteter uden frygt for gengældelse". Dash tilføjer: "I cybersikkerhed tæller hver advarsel. Det er en kollektiv indsats, og at være proaktiv er nøglen.”
Karl Lankford, EMEA-direktør for systemteknik hos Illumio, siger, at SolarWinds-hacket og SEC-afgifterne viser, at "CISO-rollen fortjener en plads i ledelsesteamet".
"Den bredere C-Suite skal også holdes ansvarlig for god cybersikkerhedspraksis, da det ofte er dette hold, der afviser anbefalingerne fra en CISO," tilføjer han. "Jeg ville elske at se et skift, hvor CISO tildeles den relevante myndighed og budgetter til at implementere effektive sikkerhedskontroller uden at skulle søge godkendelse på alle trin."
Robin Campbell-Burt, CEO hos Code Red, mener, at SolarWinds-hacket "kaster lys på den mangefacetterede karakter af public relations i cybersikkerhedskriser" og understreger vigtigheden af at få PR rigtigt i disse situationer.
Han siger til ISMS.online: "Deres reaktion på bruddet understreger nødvendigheden af rettidig kommunikation i vores hastigt udviklende digitale verden. Ifølge de seneste anklager fra SEC kan dette svar muligvis ikke have matchet virkeligheden af virksomhedens cybersikkerhedsposition, og denne form for uærlighed kan være ekstremt skadelig for et brands omdømme."
The Bottom Line
SolarWinds-hacket og SEC-retlige skridt viser, at dårlig afsløring af brud og forsømmelse af cybersikkerhed kan være meget dyrt for virksomheder. Med det online trussellandskab, der udvikler sig hurtigt, skal organisationer konstant revurdere og styrke deres cybersikkerhedsposition for at beskytte sig selv og deres kunder og partnere.
Som en del af dette kan vigtigheden af at anvende bedste praksis såsom multi-faktor autentificering, regelmæssig sikkerhedskopiering, fremme af en sikkerhedskultur, der involverer alle medarbejdere, følge industrirammer, og samarbejde og dele trusselsintelligens med branchefæller, ikke undervurderes.
