Résumé
- La compromission de SolarWinds Orion a été suivie d'une réponse gouvernementale, d'avertissements aux clients, de litiges en valeurs mobilières et d'un dossier de rejet ultérieur qui a laissé la qualité des preuves des déclarations de sécurité publiques comme un problème de gouvernance.
- Qui avait le contrôle pratique sur les déclarations de risque, les preuves de sécurité internes, les déclarations publiques de remédiation, les avertissements aux clients, les rapports au conseil d'administration et la preuve que le langage de sécurité correspondait au dossier réel d'intégrité des versions?
- La question de la responsabilité n'est pas seulement qu'un système de build a été compromis; elle est de savoir si les descriptions de risques, les déclarations de contrôle et les déclarations de remédiation étaient liées à des preuves vérifiables plutôt qu'à un langage de confiance.
- Les clients, les agences, les investisseurs, les acheteurs de logiciels, les intervenants en cas d'incident, les administrateurs et les responsables de la sécurité avaient besoin d'un dossier séparant les allégations, les conclusions, les déclarations de l'entreprise et les preuves techniques indépendantes.
- L'article maintient la séparation entre allégations, déclarations de l'entreprise, dossiers réglementaires, conclusions techniques, position judiciaire et inconnues résiduelles afin que la responsabilité repose sur des preuves plutôt que sur la force du récit.
Le langage du risque est devenu partie intégrante de la surface de contrôle
« Le langage du risque est devenu partie intégrante de la surface de contrôle » est le bon point de départ car la question de la responsabilité n'est pas seulement qu'un système de build a été compromis; elle est de savoir si les descriptions de risques, les déclarations de contrôle et les déclarations de remédiation étaient liées à des preuves vérifiables plutôt qu'à un langage de confiance.
La compromission de SolarWinds Orion a été suivie d'une réponse gouvernementale, d'avertissements aux clients, de litiges en valeurs mobilières et d'un dossier de rejet ultérieur qui a laissé la qualité des preuves des déclarations de sécurité publiques comme un problème de gouvernance. La question de la responsabilité publique n'est donc pas de savoir si l'organisation a connu un incident difficile; elle est de savoir si les personnes extérieures à la salle de contrôle pouvaient voir suffisamment de preuves pour comprendre ce qui a changé, qui a contrôlé ce changement et quels risques sont restés ouverts.
Pour SolarWinds North America, Inc., la surface de contrôle pratique comprenait les déclarations de risque, les preuves de sécurité internes, les allégations de la SEC et la position de rejet, les avertissements aux clients, l'intégrité des builds, les engagements Secure by Design, les rapports au conseil d'administration et les preuves de remédiation publiques. Ces mots désignent différentes équipes et différentes charges de preuve.
Une équipe de sécurité peut détenir des journaux, une équipe produit peut détenir des preuves de version ou de plateforme, une équipe juridique peut contrôler le langage des avis, les finances peuvent contrôler les estimations de pertes, et les équipes en contact avec les clients peuvent contrôler les explications que les personnes affectées peuvent réellement utiliser. La responsabilité apparaît lorsque ces fragments sont réunis en un seul dossier au lieu d'être laissés comme des mémoires institutionnelles séparées.
Une limite de source pour cette section est le rapport technique de l'intervenant en cas d'incident de Mandiant / FireEye, 2020-12-13 (https://cloud.google.com/blog/topics/threat-intelligence/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor/). Il est utile pour le dossier public concernant les déclarations de risque de sécurité de SolarWinds, le dossier de litige SEC et le dossier de responsabilité en matière de divulgation des preuves, mais il ne peut pas à lui seul répondre à toutes les questions de contrôle interne, donc cet article le traite comme une preuve de l'affirmation qu'il peut réellement soutenir.
La limite importe autant que le fait. L'article traite le dossier judiciaire et de la SEC comme une position juridique plutôt que comme un audit médico-légal. Un lecteur ne devrait pas avoir à deviner si une phrase provient d'une déclaration de l'entreprise, d'un régulateur, d'un tribunal, d'un client, d'un chercheur technique ou d'une norme sectorielle. Lorsque le type de source est explicite, l'article peut dire moins dramatiquement mais plus précisément: voici ce que prouve le dossier, voici ce qu'il suggère et voici ce qui reste non prouvé.
La même discipline change la remédiation. Si la seule réparation promise est une assurance large, le prochain conseil d'administration ou client ne peut pas la tester. Si la réparation est liée à des preuves sources, telles que SolarWinds, 2020-12-14, SEC Form 8-K (https://www.sec.gov/Archives/edgar/data/1739942/000162828020017451/swi-20201214.htm) et NSA, 2020-12-17, avis de cybersécurité (https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2451159/nsa-cybersecurity-advisory-malicious-actors-abuse-authentication-mechanisms-to/), alors l'organisation peut être interrogée sur les dates, le périmètre, les exceptions, les résultats des tests et les dépendances restantes. C'est la différence entre une récupération réputationnelle et une récupération responsable.
Le dossier de rejet n'a pas certifié l'environnement de build
« Le dossier de rejet n'a pas certifié l'environnement de build » est le bon point de départ car la question de la responsabilité n'est pas seulement qu'un système de build a été compromis; elle est de savoir si les descriptions de risques, les déclarations de contrôle et les déclarations de remédiation étaient liées à des preuves vérifiables plutôt qu'à un langage de confiance.
La compromission de SolarWinds Orion a été suivie d'une réponse gouvernementale, d'avertissements aux clients, de litiges en valeurs mobilières et d'un dossier de rejet ultérieur qui a laissé la qualité des preuves des déclarations de sécurité publiques comme un problème de gouvernance. La question de la responsabilité publique n'est donc pas de savoir si l'organisation a connu un incident difficile; elle est de savoir si les personnes extérieures à la salle de contrôle pouvaient voir suffisamment de preuves pour comprendre ce qui a changé, qui a contrôlé ce changement et quels risques sont restés ouverts.
Pour SolarWinds North America, Inc., la surface de contrôle pratique comprenait les déclarations de risque, les preuves de sécurité internes, les allégations de la SEC et la position de rejet, les avertissements aux clients, l'intégrité des builds, les engagements Secure by Design, les rapports au conseil d'administration et les preuves de remédiation publiques. Ces mots désignent différentes équipes et différentes charges de preuve.
Une équipe de sécurité peut détenir des journaux, une équipe produit peut détenir des preuves de version ou de plateforme, une équipe juridique peut contrôler le langage des avis, les finances peuvent contrôler les estimations de pertes, et les équipes en contact avec les clients peuvent contrôler les explications que les personnes affectées peuvent réellement utiliser. La responsabilité apparaît lorsque ces fragments sont réunis en un seul dossier au lieu d'être laissés comme des mémoires institutionnelles séparées.
Une limite de source pour cette section est l'analyse de malware de Mandiant / FireEye, 2020-12-24 (https://cloud.google.com/blog/topics/threat-intelligence/sunburst-additional-technical-details/). Il est utile pour le dossier public concernant les déclarations de risque de sécurité de SolarWinds, le dossier de litige SEC et le dossier de responsabilité en matière de divulgation des preuves, mais il ne peut pas à lui seul répondre à toutes les questions de contrôle interne, donc cet article le traite comme une preuve de l'affirmation qu'il peut réellement soutenir.
La limite importe autant que le fait. La différence importante concerne les versions affectées, les installations, les cibles sélectionnées et les compromissions ultérieures. Un lecteur ne devrait pas avoir à deviner si une phrase provient d'une déclaration de l'entreprise, d'un régulateur, d'un tribunal, d'un client, d'un chercheur technique ou d'une norme sectorielle. Lorsque le type de source est explicite, l'article peut dire moins dramatiquement mais plus précisément: voici ce que prouve le dossier, voici ce qu'il suggère et voici ce qui reste non prouvé.
La même discipline change la remédiation. Si la seule réparation promise est une assurance large, le prochain conseil d'administration ou client ne peut pas la tester. Si la réparation est liée à des preuves sources, telles que SolarWinds, 2021-03-01, Form 10-K (https://www.sec.gov/Archives/edgar/data/1739942/000173994221000043/swi-20201231.htm) et GAO, 2022-01-13, examen fédéral (https://www.gao.gov/products/gao-22-104746), alors l'organisation peut être interrogée sur les dates, le périmètre, les exceptions, les résultats des tests et les dépendances restantes. C'est la différence entre une récupération réputationnelle et une récupération responsable.
Les clients avaient besoin d'avertissements correspondant à l'exposition opérationnelle
« Les clients avaient besoin d'avertissements correspondant à l'exposition opérationnelle » est le bon point de départ car la question de la responsabilité n'est pas seulement qu'un système de build a été compromis; elle est de savoir si les descriptions de risques, les déclarations de contrôle et les déclarations de remédiation étaient liées à des preuves vérifiables plutôt qu'à un langage de confiance.
La compromission de SolarWinds Orion a été suivie d'une réponse gouvernementale, d'avertissements aux clients, de litiges en valeurs mobilières et d'un dossier de rejet ultérieur qui a laissé la qualité des preuves des déclarations de sécurité publiques comme un problème de gouvernance. La question de la responsabilité publique n'est donc pas de savoir si l'organisation a connu un incident difficile; elle est de savoir si les personnes extérieures à la salle de contrôle pouvaient voir suffisamment de preuves pour comprendre ce qui a changé, qui a contrôlé ce changement et quels risques sont restés ouverts.
Pour SolarWinds North America, Inc., la surface de contrôle pratique comprenait les déclarations de risque, les preuves de sécurité internes, les allégations de la SEC et la position de rejet, les avertissements aux clients, l'intégrité des builds, les engagements Secure by Design, les rapports au conseil d'administration et les preuves de remédiation publiques. Ces mots désignent différentes équipes et différentes charges de preuve.
Une équipe de sécurité peut détenir des journaux, une équipe produit peut détenir des preuves de version ou de plateforme, une équipe juridique peut contrôler le langage des avis, les finances peuvent contrôler les estimations de pertes, et les équipes en contact avec les clients peuvent contrôler les explications que les personnes affectées peuvent réellement utiliser. La responsabilité apparaît lorsque ces fragments sont réunis en un seul dossier au lieu d'être laissés comme des mémoires institutionnelles séparées.
Une limite de source pour cette section est l'analyse technique de CrowdStrike, 2021-01-11 (https://www.crowdstrike.com/en-us/blog/sunspot-malware-technical-analysis/). Il est utile pour le dossier public concernant les déclarations de risque de sécurité de SolarWinds, le dossier de litige SEC et le dossier de responsabilité en matière de divulgation des preuves, mais il ne peut pas à lui seul répondre à toutes les questions de contrôle interne, donc cet article le traite comme une preuve de l'affirmation qu'il peut réellement soutenir.
La limite importe autant que le fait. Les affirmations de développement sécurisé doivent être liées à des artefacts qu'un observateur extérieur peut tester ou au moins auditer. Un lecteur ne devrait pas avoir à deviner si une phrase provient d'une déclaration de l'entreprise, d'un régulateur, d'un tribunal, d'un client, d'un chercheur technique ou d'une norme sectorielle. Lorsque le type de source est explicite, l'article peut dire moins dramatiquement mais plus précisément: voici ce que prouve le dossier, voici ce qu'il suggère et voici ce qui reste non prouvé.
La même discipline change la remédiation. Si la seule réparation promise est une assurance large, le prochain conseil d'administration ou client ne peut pas la tester. Si la réparation est liée à des preuves sources, telles que CISA, 2020-12-13, alerte gouvernementale (https://www.cisa.gov/news-events/alerts/2020/12/13/active-exploitation-solarwinds-software) et GAO, 2021-05-25, témoignage au Congrès (https://www.gao.gov/products/gao-21-594t), alors l'organisation peut être interrogée sur les dates, le périmètre, les exceptions, les résultats des tests et les dépendances restantes. C'est la différence entre une récupération réputationnelle et une récupération responsable.
Les preuves internes devaient survivre à la retranscription juridique
« Les preuves internes devaient survivre à la retranscription juridique » est le bon point de départ car la question de la responsabilité n'est pas seulement qu'un système de build a été compromis; elle est de savoir si les descriptions de risques, les déclarations de contrôle et les déclarations de remédiation étaient liées à des preuves vérifiables plutôt qu'à un langage de confiance.
La compromission de SolarWinds Orion a été suivie d'une réponse gouvernementale, d'avertissements aux clients, de litiges en valeurs mobilières et d'un dossier de rejet ultérieur qui a laissé la qualité des preuves des déclarations de sécurité publiques comme un problème de gouvernance. La question de la responsabilité publique n'est donc pas de savoir si l'organisation a connu un incident difficile; elle est de savoir si les personnes extérieures à la salle de contrôle pouvaient voir suffisamment de preuves pour comprendre ce qui a changé, qui a contrôlé ce changement et quels risques sont restés ouverts.
Pour SolarWinds North America, Inc., la surface de contrôle pratique comprenait les déclarations de risque, les preuves de sécurité internes, les allégations de la SEC et la position de rejet, les avertissements aux clients, l'intégrité des builds, les engagements Secure by Design, les rapports au conseil d'administration et les preuves de remédiation publiques. Ces mots désignent différentes équipes et différentes charges de preuve.
Une équipe de sécurité peut détenir des journaux, une équipe produit peut détenir des preuves de version ou de plateforme, une équipe juridique peut contrôler le langage des avis, les finances peuvent contrôler les estimations de pertes, et les équipes en contact avec les clients peuvent contrôler les explications que les personnes affectées peuvent réellement utiliser. La responsabilité apparaît lorsque ces fragments sont réunis en un seul dossier au lieu d'être laissés comme des mémoires institutionnelles séparées.
Une limite de source pour cette section est la mise à jour de l'entreprise SolarWinds, 2021-01-11 (https://www.solarwinds.com/blog/new-findings-from-our-investigation-of-sunburst). Il est utile pour le dossier public concernant les déclarations de risque de sécurité de SolarWinds, le dossier de litige SEC et le dossier de responsabilité en matière de divulgation des preuves, mais il ne peut pas à lui seul répondre à toutes les questions de contrôle interne, donc cet article le traite comme une preuve de l'affirmation qu'il peut réellement soutenir.
La limite importe autant que le fait. La divulgation des risques n'est utile que lorsqu'elle donne aux lecteurs suffisamment de preuves pour comprendre l'incertitude. Un lecteur ne devrait pas avoir à deviner si une phrase provient d'une déclaration de l'entreprise, d'un régulateur, d'un tribunal, d'un client, d'un chercheur technique ou d'une norme sectorielle. Lorsque le type de source est explicite, l'article peut dire moins dramatiquement mais plus précisément: voici ce que prouve le dossier, voici ce qu'il suggère et voici ce qui reste non prouvé.
La même discipline change la remédiation. Si la seule réparation promise est une assurance large, le prochain conseil d'administration ou client ne peut pas la tester. Si la réparation est liée à des preuves sources, telles que CISA, 2020-12-13 et suivants, index des directives d'urgence (https://www.cisa.gov/news-events/directives) et le Département de la Justice américain, 2021-01-06, déclaration de l'agence (https://www.justice.gov/archives/opa/pr/department-justice-statement-solarwinds-update), alors l'organisation peut être interrogée sur les dates, le périmètre, les exceptions, les résultats des tests et les dépendances restantes. C'est la différence entre une récupération réputationnelle et une récupération responsable.
Les rapports au conseil d'administration exigeaient de la traçabilité, pas des slogans
« Les rapports au conseil d'administration exigeaient de la traçabilité, pas des slogans » est le bon point de départ car la question de la responsabilité n'est pas seulement qu'un système de build a été compromis; elle est de savoir si les descriptions de risques, les déclarations de contrôle et les déclarations de remédiation étaient liées à des preuves vérifiables plutôt qu'à un langage de confiance.
La compromission de SolarWinds Orion a été suivie d'une réponse gouvernementale, d'avertissements aux clients, de litiges en valeurs mobilières et d'un dossier de rejet ultérieur qui a laissé la qualité des preuves des déclarations de sécurité publiques comme un problème de gouvernance. La question de la responsabilité publique n'est donc pas de savoir si l'organisation a connu un incident difficile; elle est de savoir si les personnes extérieures à la salle de contrôle pouvaient voir suffisamment de preuves pour comprendre ce qui a changé, qui a contrôlé ce changement et quels risques sont restés ouverts.
Pour SolarWinds North America, Inc., la surface de contrôle pratique comprenait les déclarations de risque, les preuves de sécurité internes, les allégations de la SEC et la position de rejet, les avertissements aux clients, l'intégrité des builds, les engagements Secure by Design, les rapports au conseil d'administration et les preuves de remédiation publiques. Ces mots désignent différentes équipes et différentes charges de preuve.
Une équipe de sécurité peut détenir des journaux, une équipe produit peut détenir des preuves de version ou de plateforme, une équipe juridique peut contrôler le langage des avis, les finances peuvent contrôler les estimations de pertes, et les équipes en contact avec les clients peuvent contrôler les explications que les personnes affectées peuvent réellement utiliser. La responsabilité apparaît lorsque ces fragments sont réunis en un seul dossier au lieu d'être laissés comme des mémoires institutionnelles séparées.
Une limite de source pour cette section est la mise à jour de l'entreprise SolarWinds, 2021-05-07 (https://www.solarwinds.com/blog/an-investigative-update-of-the-cyberattack). Il est utile pour le dossier public concernant les déclarations de risque de sécurité de SolarWinds, le dossier de litige SEC et le dossier de responsabilité en matière de divulgation des preuves, mais il ne peut pas à lui seul répondre à toutes les questions de contrôle interne, donc cet article le traite comme une preuve de l'affirmation qu'il peut réellement soutenir.
La limite importe autant que le fait. L'article traite le dossier judiciaire et de la SEC comme une position juridique plutôt que comme un audit médico-légal. Un lecteur ne devrait pas avoir à deviner si une phrase provient d'une déclaration de l'entreprise, d'un régulateur, d'un tribunal, d'un client, d'un chercheur technique ou d'une norme sectorielle. Lorsque le type de source est explicite, l'article peut dire moins dramatiquement mais plus précisément: voici ce que prouve le dossier, voici ce qu'il suggère et voici ce qui reste non prouvé.
La même discipline change la remédiation. Si la seule réparation promise est une assurance large, le prochain conseil d'administration ou client ne peut pas la tester. Si la réparation est liée à des preuves sources, telles que CISA, 2021-05-13, guide de récupération (https://www.cisa.gov/news-events/news/cisa-releases-eviction-guidance-help-organizations-remove-russian-state-sponsored-threats) et FBI, 2021-03-18, témoignage au Sénat (https://www.justice.gov/ola/understanding-and-responding-solar-winds-supply-chain-attack-federal-perspective), alors l'organisation peut être interrogée sur les dates, le périmètre, les exceptions, les résultats des tests et les dépendances restantes. C'est la différence entre une récupération réputationnelle et une récupération responsable.
La réponse gouvernementale a élargi le public de la responsabilité
« La réponse gouvernementale a élargi le public de la responsabilité » est le bon point de départ car la question de la responsabilité n'est pas seulement qu'un système de build a été compromis; elle est de savoir si les descriptions de risques, les déclarations de contrôle et les déclarations de remédiation étaient liées à des preuves vérifiables plutôt qu'à un langage de confiance.
La compromission de SolarWinds Orion a été suivie d'une réponse gouvernementale, d'avertissements aux clients, de litiges en valeurs mobilières et d'un dossier de rejet ultérieur qui a laissé la qualité des preuves des déclarations de sécurité publiques comme un problème de gouvernance. La question de la responsabilité publique n'est donc pas de savoir si l'organisation a connu un incident difficile; elle est de savoir si les personnes extérieures à la salle de contrôle pouvaient voir suffisamment de preuves pour comprendre ce qui a changé, qui a contrôlé ce changement et quels risques sont restés ouverts.
Pour SolarWinds North America, Inc., la surface de contrôle pratique comprenait les déclarations de risque, les preuves de sécurité internes, les allégations de la SEC et la position de rejet, les avertissements aux clients, l'intégrité des builds, les engagements Secure by Design, les rapports au conseil d'administration et les preuves de remédiation publiques. Ces mots désignent différentes équipes et différentes charges de preuve.
Une équipe de sécurité peut détenir des journaux, une équipe produit peut détenir des preuves de version ou de plateforme, une équipe juridique peut contrôler le langage des avis, les finances peuvent contrôler les estimations de pertes, et les équipes en contact avec les clients peuvent contrôler les explications que les personnes affectées peuvent réellement utiliser. La responsabilité apparaît lorsque ces fragments sont réunis en un seul dossier au lieu d'être laissés comme des mémoires institutionnelles séparées.
Une limite de source pour cette section est SolarWinds, 2020-12-14, SEC Form 8-K (https://www.sec.gov/Archives/edgar/data/1739942/000162828020017451/swi-20201214.htm). Il est utile pour le dossier public concernant les déclarations de risque de sécurité de SolarWinds, le dossier de litige SEC et le dossier de responsabilité en matière de divulgation des preuves, mais il ne peut pas à lui seul répondre à toutes les questions de contrôle interne, donc cet article le traite comme une preuve de l'affirmation qu'il peut réellement soutenir.
La limite importe autant que le fait. La différence importante concerne les versions affectées, les installations, les cibles sélectionnées et les compromissions ultérieures. Un lecteur ne devrait pas avoir à deviner si une phrase provient d'une déclaration de l'entreprise, d'un régulateur, d'un tribunal, d'un client, d'un chercheur technique ou d'une norme sectorielle. Lorsque le type de source est explicite, l'article peut dire moins dramatiquement mais plus précisément: voici ce que prouve le dossier, voici ce qu'il suggère et voici ce qui reste non prouvé.
La même discipline change la remédiation. Si la seule réparation promise est une assurance large, le prochain conseil d'administration ou client ne peut pas la tester. Si la réparation est liée à des preuves sources, telles que CISA, NSA, FBI, 2021-04-15, attribution et avis (https://www.cisa.gov/news-events/alerts/2021/04/15/nsa-cisa-fbi-joint-advisory-russian-svr-targeting-us-and-allied) et la Commission du renseignement du Sénat américain, 2021-02-23, compte rendu d'audience (https://www.intelligence.senate.gov/2021/02/18/hearings-open-hearing-hearing-hack-us-networks-foreign-adversary/), alors l'organisation peut être interrogée sur les dates, le périmètre, les exceptions, les résultats des tests et les dépendances restantes. C'est la différence entre une récupération réputationnelle et une récupération responsable.
L'assurance logicielle est passée de la confiance aux preuves matérielles
« L'assurance logicielle est passée de la confiance aux preuves matérielles » est le bon point de départ car la question de la responsabilité n'est pas seulement qu'un système de build a été compromis; elle est de savoir si les descriptions de risques, les déclarations de contrôle et les déclarations de remédiation étaient liées à des preuves vérifiables plutôt qu'à un langage de confiance.
La compromission de SolarWinds Orion a été suivie d'une réponse gouvernementale, d'avertissements aux clients, de litiges en valeurs mobilières et d'un dossier de rejet ultérieur qui a laissé la qualité des preuves des déclarations de sécurité publiques comme un problème de gouvernance. La question de la responsabilité publique n'est donc pas de savoir si l'organisation a connu un incident difficile; elle est de savoir si les personnes extérieures à la salle de contrôle pouvaient voir suffisamment de preuves pour comprendre ce qui a changé, qui a contrôlé ce changement et quels risques sont restés ouverts.
Pour SolarWinds North America, Inc., la surface de contrôle pratique comprenait les déclarations de risque, les preuves de sécurité internes, les allégations de la SEC et la position de rejet, les avertissements aux clients, l'intégrité des builds, les engagements Secure by Design, les rapports au conseil d'administration et les preuves de remédiation publiques. Ces mots désignent différentes équipes et différentes charges de preuve.
Une équipe de sécurité peut détenir des journaux, une équipe produit peut détenir des preuves de version ou de plateforme, une équipe juridique peut contrôler le langage des avis, les finances peuvent contrôler les estimations de pertes, et les équipes en contact avec les clients peuvent contrôler les explications que les personnes affectées peuvent réellement utiliser. La responsabilité apparaît lorsque ces fragments sont réunis en un seul dossier au lieu d'être laissés comme des mémoires institutionnelles séparées.
Une limite de source pour cette section est SolarWinds, 2021-03-01, Form 10-K (https://www.sec.gov/Archives/edgar/data/1739942/000173994221000043/swi-20201231.htm). Il est utile pour le dossier public concernant les déclarations de risque de sécurité de SolarWinds, le dossier de litige SEC et le dossier de responsabilité en matière de divulgation des preuves, mais il ne peut pas à lui seul répondre à toutes les questions de contrôle interne, donc cet article le traite comme une preuve de l'affirmation qu'il peut réellement soutenir.
La limite importe autant que le fait. Les affirmations de développement sécurisé doivent être liées à des artefacts qu'un observateur extérieur peut tester ou au moins auditer. Un lecteur ne devrait pas avoir à deviner si une phrase provient d'une déclaration de l'entreprise, d'un régulateur, d'un tribunal, d'un client, d'un chercheur technique ou d'une norme sectorielle. Lorsque le type de source est explicite, l'article peut dire moins dramatiquement mais plus précisément: voici ce que prouve le dossier, voici ce qu'il suggère et voici ce qui reste non prouvé.
La même discipline change la remédiation. Si la seule réparation promise est une assurance large, le prochain conseil d'administration ou client ne peut pas la tester. Si la réparation est liée à des preuves sources, telles que NSA, 2020-12-17, avis de cybersécurité (https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2451159/nsa-cybersecurity-advisory-malicious-actors-abuse-authentication-mechanisms-to/) et Sudhakar Ramakrishna, 2021-02-23, témoignage écrit (https://www.intelligence.senate.gov/wp-content/uploads/2024/08/sites-default-files-documents-os-sramakrishna-022321.pdf), alors l'organisation peut être interrogée sur les dates, le périmètre, les exceptions, les résultats des tests et les dépendances restantes. C'est la différence entre une récupération réputationnelle et une récupération responsable.
Les déclarations publiques nécessitaient une séparation des sources
« Les déclarations publiques nécessitaient une séparation des sources » est le bon point de départ car la question de la responsabilité n'est pas seulement qu'un système de build a été compromis; elle est de savoir si les descriptions de risques, les déclarations de contrôle et les déclarations de remédiation étaient liées à des preuves vérifiables plutôt qu'à un langage de confiance.
La compromission de SolarWinds Orion a été suivie d'une réponse gouvernementale, d'avertissements aux clients, de litiges en valeurs mobilières et d'un dossier de rejet ultérieur qui a laissé la qualité des preuves des déclarations de sécurité publiques comme un problème de gouvernance. La question de la responsabilité publique n'est donc pas de savoir si l'organisation a connu un incident difficile; elle est de savoir si les personnes extérieures à la salle de contrôle pouvaient voir suffisamment de preuves pour comprendre ce qui a changé, qui a contrôlé ce changement et quels risques sont restés ouverts.
Pour SolarWinds North America, Inc., la surface de contrôle pratique comprenait les déclarations de risque, les preuves de sécurité internes, les allégations de la SEC et la position de rejet, les avertissements aux clients, l'intégrité des builds, les engagements Secure by Design, les rapports au conseil d'administration et les preuves de remédiation publiques. Ces mots désignent différentes équipes et différentes charges de preuve.
Une équipe de sécurité peut détenir des journaux, une équipe produit peut détenir des preuves de version ou de plateforme, une équipe juridique peut contrôler le langage des avis, les finances peuvent contrôler les estimations de pertes, et les équipes en contact avec les clients peuvent contrôler les explications que les personnes affectées peuvent réellement utiliser. La responsabilité apparaît lorsque ces fragments sont réunis en un seul dossier au lieu d'être laissés comme des mémoires institutionnelles séparées.
Une limite de source pour cette section est l'alerte gouvernementale de CISA, 2020-12-13 (https://www.cisa.gov/news-events/alerts/2020/12/13/active-exploitation-solarwinds-software). Il est utile pour le dossier public concernant les déclarations de risque de sécurité de SolarWinds, le dossier de litige SEC et le dossier de responsabilité en matière de divulgation des preuves, mais il ne peut pas à lui seul répondre à toutes les questions de contrôle interne, donc cet article le traite comme une preuve de l'affirmation qu'il peut réellement soutenir.
La limite importe autant que le fait. La divulgation des risques n'est utile que lorsqu'elle donne aux lecteurs suffisamment de preuves pour comprendre l'incertitude. Un lecteur ne devrait pas avoir à deviner si une phrase provient d'une déclaration de l'entreprise, d'un régulateur, d'un tribunal, d'un client, d'un chercheur technique ou d'une norme sectorielle. Lorsque le type de source est explicite, l'article peut dire moins dramatiquement mais plus précisément: voici ce que prouve le dossier, voici ce qu'il suggère et voici ce qui reste non prouvé.
La même discipline change la remédiation. Si la seule réparation promise est une assurance large, le prochain conseil d'administration ou client ne peut pas la tester. Si la réparation est liée à des preuves sources, telles que GAO, 2022-01-13, examen fédéral (https://www.gao.gov/products/gao-22-104746) et Mandiant / FireEye, 2020-12-13, rapport technique de l'intervenant en cas d'incident (https://cloud.google.com/blog/topics/threat-intelligence/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor/), alors l'organisation peut être interrogée sur les dates, le périmètre, les exceptions, les résultats des tests et les dépendances restantes. C'est la différence entre une récupération réputationnelle et une récupération responsable.
Le dossier investisseur devait distinguer les allégations des faits
« Le dossier investisseur devait distinguer les allégations des faits » est le bon point de départ car la question de la responsabilité n'est pas seulement qu'un système de build a été compromis; elle est de savoir si les descriptions de risques, les déclarations de contrôle et les déclarations de remédiation étaient liées à des preuves vérifiables plutôt qu'à un langage de confiance.
La compromission de SolarWinds Orion a été suivie d'une réponse gouvernementale, d'avertissements aux clients, de litiges en valeurs mobilières et d'un dossier de rejet ultérieur qui a laissé la qualité des preuves des déclarations de sécurité publiques comme un problème de gouvernance. La question de la responsabilité publique n'est donc pas de savoir si l'organisation a connu un incident difficile; elle est de savoir si les personnes extérieures à la salle de contrôle pouvaient voir suffisamment de preuves pour comprendre ce qui a changé, qui a contrôlé ce changement et quels risques sont restés ouverts.
Pour SolarWinds North America, Inc., la surface de contrôle pratique comprenait les déclarations de risque, les preuves de sécurité internes, les allégations de la SEC et la position de rejet, les avertissements aux clients, l'intégrité des builds, les engagements Secure by Design, les rapports au conseil d'administration et les preuves de remédiation publiques. Ces mots désignent différentes équipes et différentes charges de preuve.
Une équipe de sécurité peut détenir des journaux, une équipe produit peut détenir des preuves de version ou de plateforme, une équipe juridique peut contrôler le langage des avis, les finances peuvent contrôler les estimations de pertes, et les équipes en contact avec les clients peuvent contrôler les explications que les personnes affectées peuvent réellement utiliser. La responsabilité apparaît lorsque ces fragments sont réunis en un seul dossier au lieu d'être laissés comme des mémoires institutionnelles séparées.
Une limite de source pour cette section est l'index des directives d'urgence de CISA, 2020-12-13 et suivants (https://www.cisa.gov/news-events/directives). Il est utile pour le dossier public concernant les déclarations de risque de sécurité de SolarWinds, le dossier de litige SEC et le dossier de responsabilité en matière de divulgation des preuves, mais il ne peut pas à lui seul répondre à toutes les questions de contrôle interne, donc cet article le traite comme une preuve de l'affirmation qu'il peut réellement soutenir.
La limite importe autant que le fait. L'article traite le dossier judiciaire et de la SEC comme une position juridique plutôt que comme un audit médico-légal. Un lecteur ne devrait pas avoir à deviner si une phrase provient d'une déclaration de l'entreprise, d'un régulateur, d'un tribunal, d'un client, d'un chercheur technique ou d'une norme sectorielle. Lorsque le type de source est explicite, l'article peut dire moins dramatiquement mais plus précisément: voici ce que prouve le dossier, voici ce qu'il suggère et voici ce qui reste non prouvé.
La même discipline change la remédiation. Si la seule réparation promise est une assurance large, le prochain conseil d'administration ou client ne peut pas la tester. Si la réparation est liée à des preuves sources, telles que GAO, 2021-05-25, témoignage au Congrès (https://www.gao.gov/products/gao-21-594t) et Mandiant / FireEye, 2020-12-24, analyse de malware (https://cloud.google.com/blog/topics/threat-intelligence/sunburst-additional-technical-details/), alors l'organisation peut être interrogée sur les dates, le périmètre, les exceptions, les résultats des tests et les dépendances restantes. C'est la différence entre une récupération réputationnelle et une récupération responsable.
Un meilleur système de divulgation préserverait les contradictions
« Un meilleur système de divulgation préserverait les contradictions » est le bon point de départ car la question de la responsabilité n'est pas seulement qu'un système de build a été compromis; elle est de savoir si les descriptions de risques, les déclarations de contrôle et les déclarations de remédiation étaient liées à des preuves vérifiables plutôt qu'à un langage de confiance.
La compromission de SolarWinds Orion a été suivie d'une réponse gouvernementale, d'avertissements aux clients, de litiges en valeurs mobilières et d'un dossier de rejet ultérieur qui a laissé la qualité des preuves des déclarations de sécurité publiques comme un problème de gouvernance. La question de la responsabilité publique n'est donc pas de savoir si l'organisation a connu un incident difficile; elle est de savoir si les personnes extérieures à la salle de contrôle pouvaient voir suffisamment de preuves pour comprendre ce qui a changé, qui a contrôlé ce changement et quels risques sont restés ouverts.
Pour SolarWinds North America, Inc., la surface de contrôle pratique comprenait les déclarations de risque, les preuves de sécurité internes, les allégations de la SEC et la position de rejet, les avertissements aux clients, l'intégrité des builds, les engagements Secure by Design, les rapports au conseil d'administration et les preuves de remédiation publiques. Ces mots désignent différentes équipes et différentes charges de preuve.
Une équipe de sécurité peut détenir des journaux, une équipe produit peut détenir des preuves de version ou de plateforme, une équipe juridique peut contrôler le langage des avis, les finances peuvent contrôler les estimations de pertes, et les équipes en contact avec les clients peuvent contrôler les explications que les personnes affectées peuvent réellement utiliser. La responsabilité apparaît lorsque ces fragments sont réunis en un seul dossier au lieu d'être laissés comme des mémoires institutionnelles séparées.
Une limite de source pour cette section est le guide de récupération de CISA, 2021-05-13 (https://www.cisa.gov/news-events/news/cisa-releases-eviction-guidance-help-organizations-remove-russian-state-sponsored-threats). Il est utile pour le dossier public concernant les déclarations de risque de sécurité de SolarWinds, le dossier de litige SEC et le dossier de responsabilité en matière de divulgation des preuves, mais il ne peut pas à lui seul répondre à toutes les questions de contrôle interne, donc cet article le traite comme une preuve de l'affirmation qu'il peut réellement soutenir.
La limite importe autant que le fait. La différence importante concerne les versions affectées, les installations, les cibles sélectionnées et les compromissions ultérieures. Un lecteur ne devrait pas avoir à deviner si une phrase provient d'une déclaration de l'entreprise, d'un régulateur, d'un tribunal, d'un client, d'un chercheur technique ou d'une norme sectorielle. Lorsque le type de source est explicite, l'article peut dire moins dramatiquement mais plus précisément: voici ce que prouve le dossier, voici ce qu'il suggère et voici ce qui reste non prouvé.
La même discipline change la remédiation. Si la seule réparation promise est une assurance large, le prochain conseil d'administration ou client ne peut pas la tester. Si la réparation est liée à des preuves sources, telles que le Département de la Justice américain, 2021-01-06, déclaration de l'agence (https://www.justice.gov/archives/opa/pr/department-justice-statement-solarwinds-update) et CrowdStrike, 2021-01-11, analyse technique (https://www.crowdstrike.com/en-us/blog/sunspot-malware-technical-analysis/), alors l'organisation peut être interrogée sur les dates, le périmètre, les exceptions, les résultats des tests et les dépendances restantes. C'est la différence entre une récupération réputationnelle et une récupération responsable.
Les inconnues résiduelles définissent la prochaine révision
« Les inconnues résiduelles définissent la prochaine révision » est le bon point de départ car la question de la responsabilité n'est pas seulement qu'un système de build a été compromis; elle est de savoir si les descriptions de risques, les déclarations de contrôle et les déclarations de remédiation étaient liées à des preuves vérifiables plutôt qu'à un langage de confiance.
La compromission de SolarWinds Orion a été suivie d'une réponse gouvernementale, d'avertissements aux clients, de litiges en valeurs mobilières et d'un dossier de rejet ultérieur qui a laissé la qualité des preuves des déclarations de sécurité publiques comme un problème de gouvernance. La question de la responsabilité publique n'est donc pas de savoir si l'organisation a connu un incident difficile; elle est de savoir si les personnes extérieures à la salle de contrôle pouvaient voir suffisamment de preuves pour comprendre ce qui a changé, qui a contrôlé ce changement et quels risques sont restés ouverts.
Pour SolarWinds North America, Inc., la surface de contrôle pratique comprenait les déclarations de risque, les preuves de sécurité internes, les allégations de la SEC et la position de rejet, les avertissements aux clients, l'intégrité des builds, les engagements Secure by Design, les rapports au conseil d'administration et les preuves de remédiation publiques. Ces mots désignent différentes équipes et différentes charges de preuve.
Une équipe de sécurité peut détenir des journaux, une équipe produit peut détenir des preuves de version ou de plateforme, une équipe juridique peut contrôler le langage des avis, les finances peuvent contrôler les estimations de pertes, et les équipes en contact avec les clients peuvent contrôler les explications que les personnes affectées peuvent réellement utiliser. La responsabilité apparaît lorsque ces fragments sont réunis en un seul dossier au lieu d'être laissés comme des mémoires institutionnelles séparées.
Une limite de source pour cette section est l'attribution et avis conjoint de CISA, NSA, FBI, 2021-04-15 (https://www.cisa.gov/news-events/alerts/2021/04/15/nsa-cisa-fbi-joint-advisory-russian-svr-targeting-us-and-allied). Il est utile pour le dossier public concernant les déclarations de risque de sécurité de SolarWinds, le dossier de litige SEC et le dossier de responsabilité en matière de divulgation des preuves, mais il ne peut pas à lui seul répondre à toutes les questions de contrôle interne, donc cet article le traite comme une preuve de l'affirmation qu'il peut réellement soutenir.
La limite importe autant que le fait. Les affirmations de développement sécurisé doivent être liées à des artefacts qu'un observateur extérieur peut tester ou au moins auditer. Un lecteur ne devrait pas avoir à deviner si une phrase provient d'une déclaration de l'entreprise, d'un régulateur, d'un tribunal, d'un client, d'un chercheur technique ou d'une norme sectorielle. Lorsque le type de source est explicite, l'article peut dire moins dramatiquement mais plus précisément: voici ce que prouve le dossier, voici ce qu'il suggère et voici ce qui reste non prouvé.
La même discipline change la remédiation. Si la seule réparation promise est une assurance large, le prochain conseil d'administration ou client ne peut pas la tester. Si la réparation est liée à des preuves sources, telles que FBI, 2021-03-18, témoignage au Sénat (https://www.justice.gov/ola/understanding-and-responding-solar-winds-supply-chain-attack-federal-perspective) et SolarWinds, 2021-01-11, mise à jour de l'entreprise (https://www.solarwinds.com/blog/new-findings-from-our-investigation-of-sunburst), alors l'organisation peut être interrogée sur les dates, le périmètre, les exceptions, les résultats des tests et les dépendances restantes. C'est la différence entre une récupération réputationnelle et une récupération responsable.
Le dossier responsable est une carte des preuves
« Le dossier responsable est une carte des preuves » est le bon point de départ car la question de la responsabilité n'est pas seulement qu'un système de build a été compromis; elle est de savoir si les descriptions de risques, les déclarations de contrôle et les déclarations de remédiation étaient liées à des preuves vérifiables plutôt qu'à un langage de confiance.
La compromission de SolarWinds Orion a été suivie d'une réponse gouvernementale, d'avertissements aux clients, de litiges en valeurs mobilières et d'un dossier de rejet ultérieur qui a laissé la qualité des preuves des déclarations de sécurité publiques comme un problème de gouvernance. La question de la responsabilité publique n'est donc pas de savoir si l'organisation a connu un incident difficile; elle est de savoir si les personnes extérieures à la salle de contrôle pouvaient voir suffisamment de preuves pour comprendre ce qui a changé, qui a contrôlé ce changement et quels risques sont restés ouverts.
Pour SolarWinds North America, Inc., la surface de contrôle pratique comprenait les déclarations de risque, les preuves de sécurité internes, les allégations de la SEC et la position de rejet, les avertissements aux clients, l'intégrité des builds, les engagements Secure by Design, les rapports au conseil d'administration et les preuves de remédiation publiques. Ces mots désignent différentes équipes et différentes charges de preuve.
Une équipe de sécurité peut détenir des journaux, une équipe produit peut détenir des preuves de version ou de plateforme, une équipe juridique peut contrôler le langage des avis, les finances peuvent contrôler les estimations de pertes, et les équipes en contact avec les clients peuvent contrôler les explications que les personnes affectées peuvent réellement utiliser. La responsabilité apparaît lorsque ces fragments sont réunis en un seul dossier au lieu d'être laissés comme des mémoires institutionnelles séparées.
Une limite de source pour cette section est l'avis de cybersécurité de la NSA, 2020-12-17 (https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2451159/nsa-cybersecurity-advisory-malicious-actors-abuse-authentication-mechanisms-to/). Il est utile pour le dossier public concernant les déclarations de risque de sécurité de SolarWinds, le dossier de litige SEC et le dossier de responsabilité en matière de divulgation des preuves, mais il ne peut pas à lui seul répondre à toutes les questions de contrôle interne, donc cet article le traite comme une preuve de l'affirmation qu'il peut réellement soutenir.
La limite importe autant que le fait. La divulgation des risques n'est utile que lorsqu'elle donne aux lecteurs suffisamment de preuves pour comprendre l'incertitude. Un lecteur ne devrait pas avoir à deviner si une phrase provient d'une déclaration de l'entreprise, d'un régulateur, d'un tribunal, d'un client, d'un chercheur technique ou d'une norme sectorielle. Lorsque le type de source est explicite, l'article peut dire moins dramatiquement mais plus précisément: voici ce que prouve le dossier, voici ce qu'il suggère et voici ce qui reste non prouvé.
La même discipline change la remédiation. Si la seule réparation promise est une assurance large, le prochain conseil d'administration ou client ne peut pas la tester. Si la réparation est liée à des preuves sources, telles que la Commission du renseignement du Sénat américain, 2021-02-23, compte rendu d'audience (https://www.intelligence.senate.gov/2021/02/18/hearings-open-hearing-hearing-hack-us-networks-foreign-adversary/) et SolarWinds, 2021-05-07, mise à jour de l'entreprise (https://www.solarwinds.com/blog/an-investigative-update-of-the-cyberattack), alors l'organisation peut être interrogée sur les dates, le périmètre, les exceptions, les résultats des tests et les dépendances restantes. C'est la différence entre une récupération réputationnelle et une récupération responsable.
Dossier de preuves pour le lecteur
L'article utilise les sources publiques suivantes comme dossier de lecture pour les déclarations de risque de sécurité de SolarWinds et le dossier de preuves en matière de divulgation. Chaque source est traitée avec des limites: les déclarations de l'entreprise prouvent ce que l'entreprise a dit ou rapporté, les dossiers judiciaires prouvent la position juridique, les dossiers réglementaires prouvent une action officielle ou une allégation, les publications techniques prouvent les mécanismes observés dans leur périmètre, et les documents de normes fournissent des références de contrôle plutôt que des conclusions rétroactives.
- Mandiant / FireEye, 2020-12-13, rapport technique de l'intervenant en cas d'incident:https://cloud.google.com/blog/topics/threat-intelligence/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor/
- Mandiant / FireEye, 2020-12-24, analyse de malware:https://cloud.google.com/blog/topics/threat-intelligence/sunburst-additional-technical-details/
- CrowdStrike, 2021-01-11, analyse technique:https://www.crowdstrike.com/en-us/blog/sunspot-malware-technical-analysis/
- SolarWinds, 2021-01-11, mise à jour de l'entreprise:https://www.solarwinds.com/blog/new-findings-from-our-investigation-of-sunburst
- SolarWinds, 2021-05-07, mise à jour de l'entreprise:https://www.solarwinds.com/blog/an-investigative-update-of-the-cyberattack
- SolarWinds, 2020-12-14, SEC Form 8-K:https://www.sec.gov/Archives/edgar/data/1739942/000162828020017451/swi-20201214.htm
- SolarWinds, 2021-03-01, Form 10-K:https://www.sec.gov/Archives/edgar/data/1739942/000173994221000043/swi-20201231.htm
- CISA, 2020-12-13, alerte gouvernementale:https://www.cisa.gov/news-events/alerts/2020/12/13/active-exploitation-solarwinds-software
- CISA, 2020-12-13 et suivants, index des directives d'urgence:https://www.cisa.gov/news-events/directives
- CISA, 2021-05-13, guide de récupération:https://www.cisa.gov/news-events/news/cisa-releases-eviction-guidance-help-organizations-remove-russian-state-sponsored-threats
- CISA, NSA, FBI, 2021-04-15, attribution et avis:https://www.cisa.gov/news-events/alerts/2021/04/15/nsa-cisa-fbi-joint-advisory-russian-svr-targeting-us-and-allied
- NSA, 2020-12-17, avis de cybersécurité:https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2451159/nsa-cybersecurity-advisory-malicious-actors-abuse-authentication-mechanisms-to/
- GAO, 2022-01-13, examen fédéral:https://www.gao.gov/products/gao-22-104746
- GAO, 2021-05-25, témoignage au Congrès:https://www.gao.gov/products/gao-21-594t
- Département de la Justice américain, 2021-01-06, déclaration de l'agence:https://www.justice.gov/archives/opa/pr/department-justice-statement-solarwinds-update
- FBI, 2021-03-18, témoignage au Sénat:https://www.justice.gov/ola/understanding-and-responding-solar-winds-supply-chain-attack-federal-perspective
Ce dossier de preuves est délibérément plus large qu'un simple avis de violation, car les déclarations de risque de sécurité de SolarWinds, le dossier de litige SEC et le dossier de responsabilité en matière de divulgation des preuves ont touché plus d'un public. Le dossier public doit soutenir les clients qui ont besoin d'actions pratiques, les gestionnaires qui ont besoin d'un plan de réparation, les régulateurs qui ont besoin d'un périmètre et les lecteurs qui ont besoin de savoir quelles affirmations restent incertaines.
Questions pour le conseil d'administration
Le dossier d'examen devrait nommer le propriétaire pratique de chaque décision, la date à laquelle la décision a été prise, les preuves utilisées et le public qui en dépendait. Sans cette structure, le même incident peut être raconté ultérieurement comme une panne technique, un litige juridique, un problème de service client ou un problème financier sans base stable pour décider quel compte rendu est complet.
Un dossier de responsabilité utile préserve également l'incertitude. Il devrait indiquer ce qui est connu à partir des déclarations de l'entreprise, ce qui est connu à partir des dossiers gouvernementaux ou judiciaires, ce qui est connu à partir des intervenants externes en cas d'incident, et ce qui reste déduit. Cette séparation protège les lecteurs d'une fausse précision et protège l'organisation du traitement de la confiance précoce comme une preuve.
Le contrôle important n'est pas une réponse héroïque après coup. C'est la capacité de montrer, pendant que l'événement est encore en cours, quelles preuves changeraient une décision. Si un avis client, un rapport au conseil, une réclamation d'assurance ou une mise à jour réglementaire serait différent après un examen de journal supplémentaire, cette dépendance devrait être visible dans le dossier.
Pour ce cas spécifique, un examen du conseil devrait demander qui avait le contrôle pratique sur les déclarations de risque, les preuves de sécurité internes, les déclarations publiques de remédiation, les avertissements aux clients, les rapports au conseil d'administration et la preuve que le langage de sécurité correspondait au dossier réel d'intégrité des versions? La réponse ne devrait pas être un simple récit.
Elle devrait inclure des preuves datées, des propriétaires nommés, des publics affectés, des engagements envers les clients et une liste de faits que l'organisation ne pouvait toujours pas prouver lorsque le dossier public a été constitué.

