Решение Комиссии по ценным бумагам и биржам США (SEC) от 30 ноября прекратить судебный иск против SolarWinds и ее директора по информационной безопасности Тима Брауна было встречено немедленной и всеобщей радостью в сообществе руководителей кибербезопасности.
Для многих директоров по информационной безопасности (CISO) прекращение дела стало не абстрактным юридическим событием, а чем-то глубоко личным. «Слава богу», — сказал генеральный директор и основатель Knostic, а также CISO в резиденции по искусственному интеллекту в Cloud Security Alliance Гади Эврон, узнав о прекращении дела. «Люди чувствуют облегчение, и есть чувство общности и совместного празднования», — говорит он CSO.
«Я облегченно вздохнула», — говорит CSO Диана Келли, CISO Noma Security. После пяти лет расследований, судебных разбирательств и общественного внимания «я думаю, многие CISO [выдохнули коллективно] по этому делу», — добавляет она.
Однако это коллективное чувство облегчения не следует путать с завершением. Эксперты подчеркивают, что дело не устранило личные и профессиональные риски работы CISO, а также не разрешило более глубокое структурное напряжение, которое оно выявило. Руководители службы безопасности по-прежнему несут публичную ответственность за сбои в кибербезопасности, не обладая при этом полными полномочиями в отношении бюджетов, раскрытия информации и принятия решений по управлению корпоративными рисками.
Хотя дело SolarWinds вызвало более глубокое осознание того, что ответственность за кибербезопасность должна быть общей для всего предприятия, эксперты предупреждают, что изменение приоритетов политики и будущие администрации могут снова поставить CISO под прицел SEC.
Между тем, юридическая сага Тима Брауна — наряду с федеральным обвинительным приговором бывшего CISO Uber Джо Салливана в 2022 году — подчеркивает критические шаги, которые CISO могут предпринять для защиты себя и своих организаций до возникновения аналогичных судебных разбирательств в будущем.
Обзор дела: от российских хакеров до прекращения
Чтобы понять, почему дело SolarWinds вызвало такой холодок в сообществе CISO и почему его прекращение имеет значение, полезно вспомнить, как развивалась утечка данных и как SEC сформулировала свои претензии.
Начиная с 2019 года и продолжаясь до ноября 2020 года, злоумышленники — широко считающиеся группой APT20 или Cozy Bear, входящей в состав российской внешней разведки СВР — скомпрометировали решение для управления IT-инфраструктурой Orion, продаваемое SolarWinds, внедрив вредоносный код в легитимное обновление программного обеспечения.
Используя вредоносное ПО под названием SUNBURST, злоумышленники установили бэкдор, который затронул примерно 18 000 клиентов, хотя гораздо меньшее подмножество было выборочно использовано, включая несколько государственных учреждений США и крупные компании.
Спустя годы после самой технической компрометации, последствия приобрели более личный оборот. На фоне череды других публично тревожных, громких утечек данных в США, 30 октября 2023 года Комиссия по ценным бумагам и биржам США подала гражданский иск против SolarWinds и, к удивлению многих, ее CISO Брауна, обвиняя в мошенничестве и сбоях внутреннего контроля, связанных с якобы известными рисками и уязвимостями кибербезопасности.
В иске утверждалось, что SolarWinds и Браун обманули инвесторов, завысив эффективность мер кибербезопасности SolarWinds и занизив или не раскрывая известные риски. 18 июля 2024 года федеральный судья Пол Энглмайер отклонил большинство претензий по иску.
«Он, по сути, отклонил все обвинения, касающиеся действий после инцидента, и сказал, что легко быть мудрым задним числом, но вам придется доказать, что они действительно сделали что-то преднамеренно вводящее в заблуждение», — говорит CSO Салливан, который также является бывшим федеральным прокурором и ныне генеральным директором Joe Sullivan Security.
Оставшиеся претензии были сосредоточены на Брауне и степени, в которой заявления о кибербезопасности, опубликованные на веб-сайте SolarWinds до инцидента, были надлежащими с точки зрения информирования клиентов об их рисках. «Судья действительно сосредоточился на одной публикации на веб-сайте компании, которая содержала некоторые детали о том, что компания делает с точки зрения кибербезопасности, и, честно говоря, была довольно подробной, насколько это возможно», — говорит CSO Кара Петерман, партнер группы по судебным разбирательствам по ценным бумагам Alston & Bird.
Обоснование судьи успокоило многих руководителей службы безопасности, но также выявило более глубокий дискомфорт относительно того, как распределяется ответственность внутри современных организаций. «Область, которая действительно беспокоила многих из нас, — это идея о том, что операционный руководитель службы безопасности может нести личную ответственность за то, что компания говорит о своих инвестициях в кибербезопасность», — говорит Салливан.
Он добавляет: «У Тима не было должности CISO до инцидента. И поэтому было много всего, что вызывало у сотрудников службы безопасности большую обеспокоенность. Почему этот операционный сотрудник несет ответственность за заявления?»
Но даже если бы у него была должность CISO до инцидента, аргумент все равно остается в силе, по словам Салливана. «Исторически сложилось так, что человек, занимавший эту должность, не был, так сказать, «директором» в том смысле, что он не входит в узкий круг людей, управляющих компанией», — говорит Салливан. «Они не подчиняются генеральному директору; у них нет огромного бюджета».
Возможно, признавая этот факт, и после переговоров об урегулировании между SEC, SolarWinds и Брауном, регулятор ценных бумаг отказался от иска.
В своем заявлении генеральный директор компании Судхакар Рамакришна сказал: «Мы с самого начала говорили — и продемонстрировали в ходе судебного разбирательства — что обвинения были необоснованными, и мы рады, что SEC наконец решила отказаться от них. Мы твердо поддерживали нашего CISO Тима Брауна, и это решение подтверждает нашу веру в то, что наша команда действовала добросовестно на протяжении всего процесса». SolarWinds сохранила Брауна на посту CISO и оплатила его юридическое представительство.
Ответственность без полномочий — вот настоящий риск
В основе иска против SolarWinds лежала знакомая проблема для руководителей службы безопасности: ответственность без полномочий. Динамика, которая привела Тима Брауна в пасть SEC, заключается в том, что, несмотря на его опыт, старшинство и должность, он, как и большинство CISO, несет огромную ответственность без реальных организационных полномочий для ее подкрепления — опасения по поводу личной ответственности перед лицом этого факта еще больше отталкивают многих CISO от этой роли.
«У нас много ответственности и очень мало полномочий», — говорит Эврон из Knostic. «Организация управляет риском. Наша работа — представить риск и управлять им, как только организация решит, какой риск принять».
«Мы работаем в более широкой экосистеме», — добавляет Келли из Noma Security. «Мы не всесильны. Мы не можем принимать все решения в компании. Мы должны работать в рамках бюджета. Мы можем выступать за бюджет, но затем бюджет совместно определяется бизнесом. То же самое касается наших ресурсов для персонала или решений о том, что разрешено, а что нет, с точки зрения новых средств контроля или новых политик».
Однако с тех пор, как появились иски против Салливана и Брауна, генеральные директора и другие высокопоставленные лица, принимающие решения, все чаще подвергаются большему давлению, чтобы принять на себя часть юридической ответственности за инциденты в области кибербезопасности, которая часто была исключительной прерогативой CISO.
«В моем случае, на слушании по вынесению приговора, судья обратился к прокурору и неоднократно спрашивал: «Почему не обвиняют генерального директора?» — говорит Салливан. «Судья буквально сказал: «Насколько я понимаю, генеральный директор несет как минимум такую же, если не большую, вину, чем кто-либо другой в компании, когда дело доходит до этой ситуации».
Салливан добавляет: «В Австралии, в деле Qantas, совет директоров лишил бонусов генерального директора и многих других. В одном из гражданских дел DOJ о мошенничестве в области кибербезопасности, деле Aero Turbine, они пробили корпоративную оболочку и преследовали частную инвестиционную фирму. Существует растущее признание среди государственных правоохранительных органов того, что если вы хотите изменить корпоративное поведение, вам придется целиться немного выше, чем CISO».
Как CISO должны защитить себя
Если дело SolarWinds что-то и прояснило, так это то, что облегчение временно, а подготовка имеет важное значение. У CISO есть окно возможностей, чтобы укрепить свои организационные и личные средства защиты на случай, если политический маятник качнется и снова сделает CISO мишенями для судебных разбирательств.
«Я чувствую, что сотрудники SEC за последние пять-десять лет стали более образованными и имеют более глубокое понимание и знания о том, как все это работает», — говорит Петерман из Alston & Bird. «CISO должны выдохнуть с облегчением в связи с этим событием, но я бы осторожно относился к его широкому толкованию, основанному на меняющихся тенденциях в этой или следующей администрации», — добавляет Петерман.
«Брауну пришлось пережить пять лет этого: сначала расследование, а затем судебное разбирательство», — говорит она. «И я полагаю, что это сопряжено со значительным личным, психологическим и физическим бременем. [Браун перенес сердечный приступ во время судебного разбирательства.] Если у CISO нет необходимых соглашений о возмещении убытков или защитных мер страхования директоров и должностных лиц (D&O) через устав или по соглашению, это также может означать, что даже если вы выиграете, это повлечет за собой значительные финансовые потери».
Келли из Noma Security подчеркивает, что CISO по-прежнему будут лицом кибербезопасности для большинства организаций, что означает постоянную бдительность в том, как сообщается о рисках. «Когда клиентам, регулирующим органам или инвесторам нужны ответы, ничего из этого не изменилось [в результате прекращения дела SolarWinds]. Один из выводов — быть очень целенаправленным и точным в том, как мы сообщаем о наших программах».
Салливан советует CISO и другим руководителям службы безопасности быть проактивными и сообщать всей организации о своих потребностях. «Очень важно, чтобы мы не сидели в углу и не взваливали все риски на свои плечи», — говорит он. «Мы должны взаимодействовать с остальными руководителями и генеральным директором и говорить: «Смотрите, кибербезопасность — это решение компании».
Он также подчеркивает, что сообщество CISO в долгу перед Брауном за его стойкость. «Многие из нас очень благодарны Тиму за то, что он не исчез в процессе», — говорит Салливан. «Он провел много времени на различных мероприятиях, обычно в закрытом режиме, встречаясь со многими людьми. У меня была возможность выступать с ним на панелях и звонках, где мы делили сцену. Все мы очень рады, что Тим прошел через это целым, что он стоит на ногах и что у него все еще есть работа».
Автор – Cynthia Brumfield
