Mitä yritykset voivat oppia SolarWindsin hakkerointi- ja SEC-maksuista
Sisällysluettelo:
On kulunut kolme vuotta siitä, kun amerikkalainen ohjelmistoyritys SolarWinds joutui yhden historian merkittävimmän kyberhyökkäyksen uhriksi. Ensimmäistä kertaa joulukuussa 2020 julkisuuteen paljastuneessa tapahtumassa venäläiset hakkerit murtautuivat SolarWindsin suosittuun Orion-verkko- ja sovellusvalvontaohjelmistoon kahden vuoden aikana.
SolarWindsin teknisen infrastruktuurin sisällä kyberrikolliset loivat ja lähettivät haittaohjelmistopäivityksiä tuhansille yrityksille ja organisaatioille, jotka käyttivät Orion-ohjelmistoa IT-ympäristöjensä hallintaan.
Hämmästyttävät 18,000 XNUMX Orion-käyttäjää asensi tietämättään haittaohjelmien aiheuttamat päivitykset, jolloin hakkerit pääsivät käsiksi IT-verkkoihinsa, tietokonejärjestelmiinsä ja tietoihinsa sekä kohdistamaan kohteensa asiakkaisiinsa ja muihin sidosryhmiinsä.
Hakkerointi vaikutti useisiin Yhdysvaltain valtion virastoihin, mukaan lukien Homeland Security, State, Treasury and Commerce ja suuriin yrityksiin, kuten Microsoft, Intel, Cisco, Deloitte ja FireEye, kuten TechTarget raportoi. Rikkomus oli niin vakava ja kauaskantoinen, että Microsoftin presidentti Brad Smith on kuvattu se on "suurin ja kehittynein hyökkäys, jonka maailma on koskaan nähnyt".
Vuoteen 2023 mennessä SolarWinds kohtaa edelleen tämän ennätyksellisen kyberhyökkäyksen seuraukset. Lokakuussa Yhdysvaltain arvopaperi- ja pörssikomitea (SEC) ilmoitti ryhtyvänsä oikeudellisiin toimiin SolarWindsia vastaan, syyttäen teknologiayritystä sijoittajien harhaanjohtamisesta sen kyberturvallisuuskäytäntöjen ja -riskien suhteen.
Tämä hakkerointi yhdistettynä äskettäin SEC:n SolarWindsia vastaan esittämiin syytteisiin korostaa yritysten tarvetta ottaa kasvava tietoverkkorikollisuus vakavasti ymmärtämällä ja omaksumalla vankat tietoturvakäytännöt. Se tarjoaa myös arvokkaita liiketoiminnan oppimismahdollisuuksia, joista monia tutkimme tässä blogikirjoituksessa.
SEC-maksujen ymmärtäminen
Yksi merkittävimmistä asioista näissä SEC-maksuissa on, että ne kohdistuvat SolarWindsin lisäksi myös tietoturvapäällikkö Timothy G. Browniin.
SEC väittää, että SolarWinds "petsi sijoittajia" lokakuussa 2018 tekemänsä listautumisannin ja joulukuussa 2020 antamansa kyberhyökkäysilmoituksen välillä liioittelemalla kyberturvallisuuskäytäntöjään sekä vähättelemällä tiedossa olevia kyberturvallisuuden haavoittuvuuksia eikä paljastanut niitä.
Lehdistötiedotteessa, Yhdysvaltain hallituksen virasto väittää, että SolarWinds kertoi sijoittajille vain "yleisistä ja hypoteettisista riskeistä", vaikka SolarWinds ja Brown olivat tietoisia "erityisistä puutteista SolarWindsin kyberturvallisuuskäytännöissä" ja "enenevässä määrin kohonneista riskeistä". SEC väittää, että SolarWinds antoi harhaanjohtavia julkisia lausuntoja kyberturvallisuudestaan, mikä on ristiriidassa sisäisten arvioiden kanssa.
Esimerkiksi SolarWinds-insinööri loi ja jakoi sisäisen esityksen varoituksen siitä, että yrityksen etäkäyttö ei ollut "erittäin turvallinen" ja että hakkerit voisivat "periaatteessa tehdä mitä tahansa ilman, että havaitsimme sen, kunnes on liian myöhäistä". Brownin näkemä esitys varoitti myös "suuresta maineesta ja taloudellisesta menetyksestä", jos hakkeri hyödyntäisi tätä haavoittuvuutta.
Muissa SEC:n SolarWindsiä vastaan esittämissä väitteissä Brown väitti esityksessään, että "nykyinen turvallisuustila jättää meidät erittäin haavoittuvaiseen tilaan kriittisten omaisuuksien kannalta". Hänen väitetään myös kutsuneen kriittistä järjestelmään ja dataan pääsyä ja oikeuksia "sopimattomiksi" toisessa esityksessä, muun muassa tapauksissa, joissa hänen väitetään esille kyberturvallisuusongelmia sisäisesti.
SEC on syyttänyt Brownia epäonnistumisesta "ratkaisemaan ongelmia" ja "riittävästi nostanut niitä edelleen yhtiön sisällä" toimenpiteillä, jotka tarkoittivat, että SolarWinds ei kyennyt "tarjoamaan kohtuullisia takeita siitä, että sen arvokkain omaisuus, mukaan lukien lippulaiva Orion-tuote, oli riittävän suojattu”. Nyt vaaditaan "pysyvää kieltoapua, irtisanoutumista ennakkotuomion korkoineen, siviilirangaistuksia sekä upseeri- ja johtajalakia Brownia vastaan".
Business Learnings
Monet yritykset voivat ottaa pois keskeisiä oppeja parantaakseen kyberturvallisuusasentoaan arvioimalla pahamaineisen SolarWinds-hakkeroinnin ja viimeaikaiset SEC-maksut.
Ehkä merkittävin oppi on se, että SolarWinds-murto osoittaa, että "edes kaikkein kehittyneimmät ja vakiintuneet entiteetit eivät ole immuuneja kyberuhkille", ISMS.onlinen teknologiajohtaja Sam Peters sanoo.
Kun kyberuhat monimutkaistuvat ja yleistyvät SolarWinds-murron seurauksena, yritysten on varmistettava, että heillä on keinot tunnistaa, arvioida ja hallita niitä. Tämän pitäisi sisältää "jatkuvaa valppautta, säännöllisiä arviointeja ja ennakoivan kyberturvallisuusajattelutavan omaksumista", Peters sanoo.
Paras tapa hallita uusia ja esiin nousevia kyberturvauhkia on noudattaa alan parhaita käytäntöjä, sääntelyvaatimuksia ja tunnustetut puitteet, kuten ISO/IEC 27001 ja NIST-verkkoturvallisuuskehys osana "turvallisuustietoisuuden kulttuuria".
Peters selittää: "Ne ovat liiketoiminnan välttämättömyystarvikkeita nykypäivän digitaalisessa ympäristössä. Teknologian johtajina meidän ei tule nähdä kyberturvallisuutta itsenäisenä toimintona vaan integroituna, perustavanlaatuisena osana yleistä liiketoimintastrategiaamme.
Noudattamalla ISO/IEC 27001:n kaltaisia puitteita yritysten on noudatettava erilaisia teknisiä valvontatoimia verkkojensa, järjestelmiensä ja tietojensa suojaamiseksi. Peters selittää, että heidän on määriteltävä, seurattava ja tarkistettava käyttäjien käyttöoikeuksien hallinta, ohjaukset ja vastuut vahvojen salaus- ja avaintenhallintaprotokollien käytön lisäksi. Näiden vaiheiden suorittaminen on avain "tietojen luottamuksellisuuden varmistamiseen myös tietomurtojen aikana".
Peters suosittelee myös, että yritykset suorittavat säännöllisesti haavoittuvuusarviointeja, jotta ne voivat tunnistaa ja korjata ohjelmistoviat, jotka muuten voisivat tarjota takaoven arkaluontoisiin järjestelmiin hakkereille. Toteutetaan hyvin dokumentoitu tietoturvaloukkausten hallinta prosessi antaisi yrityksille myös mahdollisuuden tunnistaa, raportoida ja hallita rikkomuksia niiden tapahtuessa.
Sen lisäksi, että SolarWinds-tapaus korostaa alan parhaiden käytäntöjen ja puitteiden noudattamisen tärkeyttä, se osoittaa myös, että toimittajien due diligence on ratkaisevan tärkeää kyberhyökkäysten lieventämisessä. Peters suosittelee yrityksille "aina tarkastaa kolmannen osapuolen ohjelmistot samalla tarkkuudella kuin sisäiset järjestelmät".
Luke Dash, ISMS.onlinen toimitusjohtaja, uskoo, että merkittävin opetus, jonka yritykset voivat oppia SolarWinds-loukkauksesta, on se, että kyberturvallisuus on "jatkuva matka, ei määränpää". Vaikka teknologiaan sijoittaminen voi auttaa torjumaan kyberrikollisuutta, Dash sanoo, että organisaatioiden on myös investoitava henkilöstöönsä kouluttamalla heitä jatkuvasti kyberturvallisuusuhkista ja parhaista käytännöistä.
Hän suosittelee myös tapaturmien torjuntasuunnitelman laatimista tuleviin uhkiin varautumiseksi ja avoimeen viestintään perustuvan työpaikkakulttuurin edistämistä. Tämä varmistaa, että "työntekijät tuntevat olonsa mukavaksi ilmoittaessaan epäilyttävästä toiminnasta ilman pelkoa kostoa". Dash lisää: "Kyberturvallisuudessa jokainen hälytys on tärkeä. Se on kollektiivista työtä, ja ennakointi on avainasemassa.
Karl Lankford, Illumion järjestelmäsuunnittelun johtaja EMEA-alueella, sanoo SolarWindsin hakkerointi- ja SEC-maksut osoittavat, että "CISO-rooli ansaitsee paikan johtoryhmässä".
"Laajempi C-Suite on myös otettava vastuuseen hyvistä kyberturvallisuuskäytännöistä, koska usein juuri tämä tiimi kieltää CISO:n suositukset", hän lisää. "Haluaisin nähdä muutoksen, jossa CISO:lle annetaan asianmukaiset valtuudet ja budjetit tehokkaan turvavalvonnan toteuttamiseksi ilman, että jokaisessa vaiheessa tarvitsee hakea hyväksyntää."
Robin Campbell-Burt, Code Redin toimitusjohtaja, uskoo, että SolarWinds-hakkerointi "valaisee PR:n monitahoisuutta kyberturvallisuuskriisissä" ja korostaa PR:n saamisen oikeaan tärkeyttä näissä tilanteissa.
Hän kertoo ISMS.online-sivustolle: "Heidän vastauksensa rikkomukseen korostaa oikea-aikaisen viestinnän välttämättömyyttä nopeasti kehittyvässä digitaalisessa maailmassamme. Viimeaikaisten SEC-syytteiden mukaan tämä vastaus ei kuitenkaan ehkä vastannut yrityksen kyberturvallisuusasennon todellisuutta, ja tällainen epärehellisyys voi olla erittäin haitallista brändin maineelle.
Bottom Line
SolarWinds-hakkerointi ja SEC-oikeudelliset toimet osoittavat, että tietoturvaloukkausten huono paljastaminen ja kyberturvallisuuden laiminlyönti voivat olla erittäin kalliita yrityksille. Online-uhat kehittyvät nopeasti, joten organisaatioiden on jatkuvasti arvioitava uudelleen ja vahvistettava kyberturva-asentoaan suojellakseen itseään ja asiakkaitaan ja kumppaneitaan.
Osana tätä ei voida aliarvioida parhaiden käytäntöjen, kuten monitekijätodennusta, säännöllistä varmuuskopiointia, kaikkien työntekijöiden tietoturvakulttuurin edistämistä, alan puitteiden noudattamista sekä yhteistyötä ja uhkatiedon jakamista alan toimijoiden kanssa, käyttöä.
