Resumo
- O comprometimento do SolarWinds Orion foi seguido por resposta governamental, avisos a clientes, litígios de valores mobiliários e um registro de arquivamento posterior que ainda deixou a qualidade das evidências das declarações públicas de segurança como um problema de governança.
- Quem tinha controle prático sobre as declarações de risco, as evidências internas de segurança, as alegações públicas de remediação, os avisos aos clientes, os relatórios ao conselho e a prova de que a linguagem de segurança correspondia ao registro real de integridade da versão?
- A questão de responsabilidade não é apenas que um sistema de compilação foi comprometido; é se as descrições de risco, as alegações de controle e as declarações de remediação estavam vinculadas a evidências verificáveis, em vez de linguagem de confiança.
- Clientes, agências, investidores, compradores de software, respondedores de incidentes, diretores e líderes de segurança precisavam de um registro que separasse alegações, conclusões, declarações da empresa e evidências técnicas independentes.
- O artigo mantém alegações, declarações da empresa, registros regulatórios, conclusões técnicas, postura judicial e incógnitas residuais separadas para que a responsabilidade seja baseada em evidências, e não em força narrativa.
A linguagem de risco tornou-se parte da superfície de controle
A linguagem de risco tornou-se parte da superfície de controle é o lugar certo para começar porque a questão de responsabilidade não é apenas que um sistema de compilação foi comprometido; é se as descrições de risco, as alegações de controle e as declarações de remediação estavam vinculadas a evidências verificáveis, em vez de linguagem de confiança. O comprometimento do SolarWinds Orion foi seguido por resposta governamental, avisos a clientes, litígios de valores mobiliários e um registro de arquivamento posterior que ainda deixou a qualidade das evidências das declarações públicas de segurança como um problema de governança.
A questão de responsabilidade pública não é, portanto, se a organização passou por um incidente difícil; é se as pessoas fora da sala de controle podiam ver evidências suficientes para entender o que mudou, quem controlou essa mudança e quais riscos permaneciam abertos.
Para a SolarWinds North America, Inc., a superfície de controle prática incluía declarações de risco, evidências internas de segurança, alegações e postura de arquivamento da SEC, avisos aos clientes, integridade da compilação, compromissos Secure by Design, relatórios ao conselho e prova de remediação pública. Essas palavras nomeiam diferentes equipes e diferentes deveres de prova.
Uma equipe de segurança pode ter logs, uma equipe de produto pode ter evidências de versão ou plataforma, uma equipe jurídica pode controlar a linguagem de aviso, o financeiro pode controlar as estimativas de perda e as equipes voltadas ao cliente podem controlar as explicações que as pessoas afetadas podem realmente usar. A responsabilidade aparece quando esses fragmentos são unidos em um único registro, em vez de serem deixados como memórias institucionais separadas.
Um limite de fonte para esta seção é o Mandiant / FireEye, 2020-12-13, relatório técnico do respondedor de incidentes (https://cloud.google.com/blog/topics/threat-intelligence/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor/). É útil para o registro público em torno das declarações de risco de segurança da solarwinds, registro de litígio da sec e registro de responsabilidade de evidências de divulgação, mas não pode por si só responder a todas as perguntas internas de controle, então este artigo o trata como evidência para a alegação que pode realmente sustentar.
O limite importa tanto quanto o fato. O artigo trata o registro judicial e da SEC como postura legal, e não como auditoria forense. O leitor não deve ter que adivinhar se uma frase vem de uma divulgação da empresa, de um regulador, de um tribunal, de um cliente, de um pesquisador técnico ou de um padrão setorial. Quando o tipo de fonte é explícito, o artigo pode dizer de forma menos dramática, mas mais precisa: aqui está o que o registro prova, aqui está o que sugere e aqui está o que permanece não comprovado.
A mesma disciplina altera a remediação. Se o único reparo prometido é uma garantia ampla, o próximo conselho ou cliente não pode testá-lo. Se o reparo estiver vinculado a evidências de fonte, como SolarWinds, 2020-12-14, SEC Form 8-K (https://www.sec.gov/Archives/edgar/data/1739942/000162828020017451/swi-20201214.htm) e NSA, 2020-12-17, aviso de cibersegurança (https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2451159/nsa-cybersecurity-advisory-malicious-actors-abuse-authentication-mechanisms-to/), então a organização pode ser questionada sobre datas, escopo, exceções, resultados de testes e dependências remanescentes. Essa é a diferença entre recuperação de reputação e recuperação responsável.
O registro de arquivamento não certificou o ambiente de compilação
O registro de arquivamento não certificou o ambiente de compilação é o lugar certo para começar porque a questão de responsabilidade não é apenas que um sistema de compilação foi comprometido; é se as descrições de risco, as alegações de controle e as declarações de remediação estavam vinculadas a evidências verificáveis, em vez de linguagem de confiança. O comprometimento do SolarWinds Orion foi seguido por resposta governamental, avisos a clientes, litígios de valores mobiliários e um registro de arquivamento posterior que ainda deixou a qualidade das evidências das declarações públicas de segurança como um problema de governança.
A questão de responsabilidade pública não é, portanto, se a organização passou por um incidente difícil; é se as pessoas fora da sala de controle podiam ver evidências suficientes para entender o que mudou, quem controlou essa mudança e quais riscos permaneciam abertos.
Para a SolarWinds North America, Inc., a superfície de controle prática incluía declarações de risco, evidências internas de segurança, alegações e postura de arquivamento da SEC, avisos aos clientes, integridade da compilação, compromissos Secure by Design, relatórios ao conselho e prova de remediação pública. Essas palavras nomeiam diferentes equipes e diferentes deveres de prova.
Uma equipe de segurança pode ter logs, uma equipe de produto pode ter evidências de versão ou plataforma, uma equipe jurídica pode controlar a linguagem de aviso, o financeiro pode controlar as estimativas de perda e as equipes voltadas ao cliente podem controlar as explicações que as pessoas afetadas podem realmente usar. A responsabilidade aparece quando esses fragmentos são unidos em um único registro, em vez de serem deixados como memórias institucionais separadas.
Um limite de fonte para esta seção é Mandiant / FireEye, 2020-12-24, análise de malware (https://cloud.google.com/blog/topics/threat-intelligence/sunburst-additional-technical-details/). É útil para o registro público em torno das declarações de risco de segurança da solarwinds, registro de litígio da sec e registro de responsabilidade de evidências de divulgação, mas não pode por si só responder a todas as perguntas internas de controle, então este artigo o trata como evidência para a alegação que pode realmente sustentar.
O limite importa tanto quanto o fato. A diferença importante é entre versões afetadas, instalações, alvos selecionados e comprometimento subsequente. O leitor não deve ter que adivinhar se uma frase vem de uma divulgação da empresa, de um regulador, de um tribunal, de um cliente, de um pesquisador técnico ou de um padrão setorial. Quando o tipo de fonte é explícito, o artigo pode dizer de forma menos dramática, mas mais precisa: aqui está o que o registro prova, aqui está o que sugere e aqui está o que permanece não comprovado.
A mesma disciplina altera a remediação. Se o único reparo prometido é uma garantia ampla, o próximo conselho ou cliente não pode testá-lo. Se o reparo estiver vinculado a evidências de fonte, como SolarWinds, 2021-03-01, Form 10-K (https://www.sec.gov/Archives/edgar/data/1739942/000173994221000043/swi-20201231.htm) e GAO, 2022-01-13, revisão federal (https://www.gao.gov/products/gao-22-104746), então a organização pode ser questionada sobre datas, escopo, exceções, resultados de testes e dependências remanescentes. Essa é a diferença entre recuperação de reputação e recuperação responsável.
Clientes precisavam de avisos que correspondessem à exposição operacional
Clientes precisavam de avisos que correspondessem à exposição operacional é o lugar certo para começar porque a questão de responsabilidade não é apenas que um sistema de compilação foi comprometido; é se as descrições de risco, as alegações de controle e as declarações de remediação estavam vinculadas a evidências verificáveis, em vez de linguagem de confiança. O comprometimento do SolarWinds Orion foi seguido por resposta governamental, avisos a clientes, litígios de valores mobiliários e um registro de arquivamento posterior que ainda deixou a qualidade das evidências das declarações públicas de segurança como um problema de governança.
A questão de responsabilidade pública não é, portanto, se a organização passou por um incidente difícil; é se as pessoas fora da sala de controle podiam ver evidências suficientes para entender o que mudou, quem controlou essa mudança e quais riscos permaneciam abertos.
Para a SolarWinds North America, Inc., a superfície de controle prática incluía declarações de risco, evidências internas de segurança, alegações e postura de arquivamento da SEC, avisos aos clientes, integridade da compilação, compromissos Secure by Design, relatórios ao conselho e prova de remediação pública. Essas palavras nomeiam diferentes equipes e diferentes deveres de prova.
Uma equipe de segurança pode ter logs, uma equipe de produto pode ter evidências de versão ou plataforma, uma equipe jurídica pode controlar a linguagem de aviso, o financeiro pode controlar as estimativas de perda e as equipes voltadas ao cliente podem controlar as explicações que as pessoas afetadas podem realmente usar. A responsabilidade aparece quando esses fragmentos são unidos em um único registro, em vez de serem deixados como memórias institucionais separadas.
Um limite de fonte para esta seção é CrowdStrike, 2021-01-11, análise técnica (https://www.crowdstrike.com/en-us/blog/sunspot-malware-technical-analysis/). É útil para o registro público em torno das declarações de risco de segurança da solarwinds, registro de litígio da sec e registro de responsabilidade de evidências de divulgação, mas não pode por si só responder a todas as perguntas internas de controle, então este artigo o trata como evidência para a alegação que pode realmente sustentar.
O limite importa tanto quanto o fato. As alegações de desenvolvimento seguro têm que estar vinculadas a artefatos que um externo possa testar ou pelo menos auditar. O leitor não deve ter que adivinhar se uma frase vem de uma divulgação da empresa, de um regulador, de um tribunal, de um cliente, de um pesquisador técnico ou de um padrão setorial. Quando o tipo de fonte é explícito, o artigo pode dizer de forma menos dramática, mas mais precisa: aqui está o que o registro prova, aqui está o que sugere e aqui está o que permanece não comprovado.
A mesma disciplina altera a remediação. Se o único reparo prometido é uma garantia ampla, o próximo conselho ou cliente não pode testá-lo. Se o reparo estiver vinculado a evidências de fonte, como CISA, 2020-12-13, alerta governamental (https://www.cisa.gov/news-events/alerts/2020/12/13/active-exploitation-solarwinds-software) e GAO, 2021-05-25, depoimento ao Congresso (https://www.gao.gov/products/gao-21-594t), então a organização pode ser questionada sobre datas, escopo, exceções, resultados de testes e dependências remanescentes. Essa é a diferença entre recuperação de reputação e recuperação responsável.
Evidências internas tiveram que sobreviver à releitura jurídica
Evidências internas tiveram que sobreviver à releitura jurídica é o lugar certo para começar porque a questão de responsabilidade não é apenas que um sistema de compilação foi comprometido; é se as descrições de risco, as alegações de controle e as declarações de remediação estavam vinculadas a evidências verificáveis, em vez de linguagem de confiança. O comprometimento do SolarWinds Orion foi seguido por resposta governamental, avisos a clientes, litígios de valores mobiliários e um registro de arquivamento posterior que ainda deixou a qualidade das evidências das declarações públicas de segurança como um problema de governança.
A questão de responsabilidade pública não é, portanto, se a organização passou por um incidente difícil; é se as pessoas fora da sala de controle podiam ver evidências suficientes para entender o que mudou, quem controlou essa mudança e quais riscos permaneciam abertos.
Para a SolarWinds North America, Inc., a superfície de controle prática incluía declarações de risco, evidências internas de segurança, alegações e postura de arquivamento da SEC, avisos aos clientes, integridade da compilação, compromissos Secure by Design, relatórios ao conselho e prova de remediação pública. Essas palavras nomeiam diferentes equipes e diferentes deveres de prova.
Uma equipe de segurança pode ter logs, uma equipe de produto pode ter evidências de versão ou plataforma, uma equipe jurídica pode controlar a linguagem de aviso, o financeiro pode controlar as estimativas de perda e as equipes voltadas ao cliente podem controlar as explicações que as pessoas afetadas podem realmente usar. A responsabilidade aparece quando esses fragmentos são unidos em um único registro, em vez de serem deixados como memórias institucionais separadas.
Um limite de fonte para esta seção é SolarWinds, 2021-01-11, atualização da empresa (https://www.solarwinds.com/blog/new-findings-from-our-investigation-of-sunburst). É útil para o registro público em torno das declarações de risco de segurança da solarwinds, registro de litígio da sec e registro de responsabilidade de evidências de divulgação, mas não pode por si só responder a todas as perguntas internas de controle, então este artigo o trata como evidência para a alegação que pode realmente sustentar.
O limite importa tanto quanto o fato. A divulgação de risco é útil apenas quando dá aos leitores evidências suficientes para entender a incerteza. O leitor não deve ter que adivinhar se uma frase vem de uma divulgação da empresa, de um regulador, de um tribunal, de um cliente, de um pesquisador técnico ou de um padrão setorial. Quando o tipo de fonte é explícito, o artigo pode dizer de forma menos dramática, mas mais precisa: aqui está o que o registro prova, aqui está o que sugere e aqui está o que permanece não comprovado.
A mesma disciplina altera a remediação. Se o único reparo prometido é uma garantia ampla, o próximo conselho ou cliente não pode testá-lo. Se o reparo estiver vinculado a evidências de fonte, como CISA, a partir de 2020-12-13, índice de diretivas de emergência (https://www.cisa.gov/news-events/directives) e U.S. Department of Justice, 2021-01-06, declaração da agência (https://www.justice.gov/archives/opa/pr/department-justice-statement-solarwinds-update), então a organização pode ser questionada sobre datas, escopo, exceções, resultados de testes e dependências remanescentes. Essa é a diferença entre recuperação de reputação e recuperação responsável.
Relatórios ao conselho exigiam rastreabilidade, não slogans
Relatórios ao conselho exigiam rastreabilidade, não slogans é o lugar certo para começar porque a questão de responsabilidade não é apenas que um sistema de compilação foi comprometido; é se as descrições de risco, as alegações de controle e as declarações de remediação estavam vinculadas a evidências verificáveis, em vez de linguagem de confiança. O comprometimento do SolarWinds Orion foi seguido por resposta governamental, avisos a clientes, litígios de valores mobiliários e um registro de arquivamento posterior que ainda deixou a qualidade das evidências das declarações públicas de segurança como um problema de governança.
A questão de responsabilidade pública não é, portanto, se a organização passou por um incidente difícil; é se as pessoas fora da sala de controle podiam ver evidências suficientes para entender o que mudou, quem controlou essa mudança e quais riscos permaneciam abertos.
Para a SolarWinds North America, Inc., a superfície de controle prática incluía declarações de risco, evidências internas de segurança, alegações e postura de arquivamento da SEC, avisos aos clientes, integridade da compilação, compromissos Secure by Design, relatórios ao conselho e prova de remediação pública. Essas palavras nomeiam diferentes equipes e diferentes deveres de prova.
Uma equipe de segurança pode ter logs, uma equipe de produto pode ter evidências de versão ou plataforma, uma equipe jurídica pode controlar a linguagem de aviso, o financeiro pode controlar as estimativas de perda e as equipes voltadas ao cliente podem controlar as explicações que as pessoas afetadas podem realmente usar. A responsabilidade aparece quando esses fragmentos são unidos em um único registro, em vez de serem deixados como memórias institucionais separadas.
Um limite de fonte para esta seção é SolarWinds, 2021-05-07, atualização da empresa (https://www.solarwinds.com/blog/an-investigative-update-of-the-cyberattack). É útil para o registro público em torno das declarações de risco de segurança da solarwinds, registro de litígio da sec e registro de responsabilidade de evidências de divulgação, mas não pode por si só responder a todas as perguntas internas de controle, então este artigo o trata como evidência para a alegação que pode realmente sustentar.
O limite importa tanto quanto o fato. O artigo trata o registro judicial e da SEC como postura legal, e não como auditoria forense. O leitor não deve ter que adivinhar se uma frase vem de uma divulgação da empresa, de um regulador, de um tribunal, de um cliente, de um pesquisador técnico ou de um padrão setorial. Quando o tipo de fonte é explícito, o artigo pode dizer de forma menos dramática, mas mais precisa: aqui está o que o registro prova, aqui está o que sugere e aqui está o que permanece não comprovado.
A mesma disciplina altera a remediação. Se o único reparo prometido é uma garantia ampla, o próximo conselho ou cliente não pode testá-lo. Se o reparo estiver vinculado a evidências de fonte, como CISA, 2021-05-13, orientação de recuperação (https://www.cisa.gov/news-events/news/cisa-releases-eviction-guidance-help-organizations-remove-russian-state-sponsored-threats) e FBI, 2021-03-18, depoimento ao Senado (https://www.justice.gov/ola/understanding-and-responding-solar-winds-supply-chain-attack-federal-perspective), então a organização pode ser questionada sobre datas, escopo, exceções, resultados de testes e dependências remanescentes. Essa é a diferença entre recuperação de reputação e recuperação responsável.
A resposta governamental ampliou o público de responsabilidade
A resposta governamental ampliou o público de responsabilidade é o lugar certo para começar porque a questão de responsabilidade não é apenas que um sistema de compilação foi comprometido; é se as descrições de risco, as alegações de controle e as declarações de remediação estavam vinculadas a evidências verificáveis, em vez de linguagem de confiança. O comprometimento do SolarWinds Orion foi seguido por resposta governamental, avisos a clientes, litígios de valores mobiliários e um registro de arquivamento posterior que ainda deixou a qualidade das evidências das declarações públicas de segurança como um problema de governança.
A questão de responsabilidade pública não é, portanto, se a organização passou por um incidente difícil; é se as pessoas fora da sala de controle podiam ver evidências suficientes para entender o que mudou, quem controlou essa mudança e quais riscos permaneciam abertos.
Para a SolarWinds North America, Inc., a superfície de controle prática incluía declarações de risco, evidências internas de segurança, alegações e postura de arquivamento da SEC, avisos aos clientes, integridade da compilação, compromissos Secure by Design, relatórios ao conselho e prova de remediação pública. Essas palavras nomeiam diferentes equipes e diferentes deveres de prova.
Uma equipe de segurança pode ter logs, uma equipe de produto pode ter evidências de versão ou plataforma, uma equipe jurídica pode controlar a linguagem de aviso, o financeiro pode controlar as estimativas de perda e as equipes voltadas ao cliente podem controlar as explicações que as pessoas afetadas podem realmente usar. A responsabilidade aparece quando esses fragmentos são unidos em um único registro, em vez de serem deixados como memórias institucionais separadas.
Um limite de fonte para esta seção é SolarWinds, 2020-12-14, SEC Form 8-K (https://www.sec.gov/Archives/edgar/data/1739942/000162828020017451/swi-20201214.htm). É útil para o registro público em torno das declarações de risco de segurança da solarwinds, registro de litígio da sec e registro de responsabilidade de evidências de divulgação, mas não pode por si só responder a todas as perguntas internas de controle, então este artigo o trata como evidência para a alegação que pode realmente sustentar.
O limite importa tanto quanto o fato. A diferença importante é entre versões afetadas, instalações, alvos selecionados e comprometimento subsequente. O leitor não deve ter que adivinhar se uma frase vem de uma divulgação da empresa, de um regulador, de um tribunal, de um cliente, de um pesquisador técnico ou de um padrão setorial. Quando o tipo de fonte é explícito, o artigo pode dizer de forma menos dramática, mas mais precisa: aqui está o que o registro prova, aqui está o que sugere e aqui está o que permanece não comprovado.
A mesma disciplina altera a remediação. Se o único reparo prometido é uma garantia ampla, o próximo conselho ou cliente não pode testá-lo. Se o reparo estiver vinculado a evidências de fonte, como CISA, NSA, FBI, 2021-04-15, atribuição e aviso (https://www.cisa.gov/news-events/alerts/2021/04/15/nsa-cisa-fbi-joint-advisory-russian-svr-targeting-us-and-allied) e U.S. Senate Select Committee on Intelligence, 2021-02-23, registro de audiência (https://www.intelligence.senate.gov/2021/02/18/hearings-open-hearing-hearing-hack-us-networks-foreign-adversary/), então a organização pode ser questionada sobre datas, escopo, exceções, resultados de testes e dependências remanescentes. Essa é a diferença entre recuperação de reputação e recuperação responsável.
A garantia de software passou da confiança para a evidência de artefato
A garantia de software passou da confiança para a evidência de artefato é o lugar certo para começar porque a questão de responsabilidade não é apenas que um sistema de compilação foi comprometido; é se as descrições de risco, as alegações de controle e as declarações de remediação estavam vinculadas a evidências verificáveis, em vez de linguagem de confiança. O comprometimento do SolarWinds Orion foi seguido por resposta governamental, avisos a clientes, litígios de valores mobiliários e um registro de arquivamento posterior que ainda deixou a qualidade das evidências das declarações públicas de segurança como um problema de governança.
A questão de responsabilidade pública não é, portanto, se a organização passou por um incidente difícil; é se as pessoas fora da sala de controle podiam ver evidências suficientes para entender o que mudou, quem controlou essa mudança e quais riscos permaneciam abertos.
Para a SolarWinds North America, Inc., a superfície de controle prática incluía declarações de risco, evidências internas de segurança, alegações e postura de arquivamento da SEC, avisos aos clientes, integridade da compilação, compromissos Secure by Design, relatórios ao conselho e prova de remediação pública. Essas palavras nomeiam diferentes equipes e diferentes deveres de prova.
Uma equipe de segurança pode ter logs, uma equipe de produto pode ter evidências de versão ou plataforma, uma equipe jurídica pode controlar a linguagem de aviso, o financeiro pode controlar as estimativas de perda e as equipes voltadas ao cliente podem controlar as explicações que as pessoas afetadas podem realmente usar. A responsabilidade aparece quando esses fragmentos são unidos em um único registro, em vez de serem deixados como memórias institucionais separadas.
Um limite de fonte para esta seção é SolarWinds, 2021-03-01, Form 10-K (https://www.sec.gov/Archives/edgar/data/1739942/000173994221000043/swi-20201231.htm). É útil para o registro público em torno das declarações de risco de segurança da solarwinds, registro de litígio da sec e registro de responsabilidade de evidências de divulgação, mas não pode por si só responder a todas as perguntas internas de controle, então este artigo o trata como evidência para a alegação que pode realmente sustentar.
O limite importa tanto quanto o fato. As alegações de desenvolvimento seguro têm que estar vinculadas a artefatos que um externo possa testar ou pelo menos auditar. O leitor não deve ter que adivinhar se uma frase vem de uma divulgação da empresa, de um regulador, de um tribunal, de um cliente, de um pesquisador técnico ou de um padrão setorial. Quando o tipo de fonte é explícito, o artigo pode dizer de forma menos dramática, mas mais precisa: aqui está o que o registro prova, aqui está o que sugere e aqui está o que permanece não comprovado.
A mesma disciplina altera a remediação. Se o único reparo prometido é uma garantia ampla, o próximo conselho ou cliente não pode testá-lo. Se o reparo estiver vinculado a evidências de fonte, como NSA, 2020-12-17, aviso de cibersegurança (https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2451159/nsa-cybersecurity-advisory-malicious-actors-abuse-authentication-mechanisms-to/) e Sudhakar Ramakrishna, 2021-02-23, depoimento escrito (https://www.intelligence.senate.gov/wp-content/uploads/2024/08/sites-default-files-documents-os-sramakrishna-022321.pdf), então a organização pode ser questionada sobre datas, escopo, exceções, resultados de testes e dependências remanescentes. Essa é a diferença entre recuperação de reputação e recuperação responsável.
Alegações públicas precisavam de separação de fontes
Alegações públicas precisavam de separação de fontes é o lugar certo para começar porque a questão de responsabilidade não é apenas que um sistema de compilação foi comprometido; é se as descrições de risco, as alegações de controle e as declarações de remediação estavam vinculadas a evidências verificáveis, em vez de linguagem de confiança. O comprometimento do SolarWinds Orion foi seguido por resposta governamental, avisos a clientes, litígios de valores mobiliários e um registro de arquivamento posterior que ainda deixou a qualidade das evidências das declarações públicas de segurança como um problema de governança.
A questão de responsabilidade pública não é, portanto, se a organização passou por um incidente difícil; é se as pessoas fora da sala de controle podiam ver evidências suficientes para entender o que mudou, quem controlou essa mudança e quais riscos permaneciam abertos.
Para a SolarWinds North America, Inc., a superfície de controle prática incluía declarações de risco, evidências internas de segurança, alegações e postura de arquivamento da SEC, avisos aos clientes, integridade da compilação, compromissos Secure by Design, relatórios ao conselho e prova de remediação pública. Essas palavras nomeiam diferentes equipes e diferentes deveres de prova.
Uma equipe de segurança pode ter logs, uma equipe de produto pode ter evidências de versão ou plataforma, uma equipe jurídica pode controlar a linguagem de aviso, o financeiro pode controlar as estimativas de perda e as equipes voltadas ao cliente podem controlar as explicações que as pessoas afetadas podem realmente usar. A responsabilidade aparece quando esses fragmentos são unidos em um único registro, em vez de serem deixados como memórias institucionais separadas.
Um limite de fonte para esta seção é CISA, 2020-12-13, alerta governamental (https://www.cisa.gov/news-events/alerts/2020/12/13/active-exploitation-solarwinds-software). É útil para o registro público em torno das declarações de risco de segurança da solarwinds, registro de litígio da sec e registro de responsabilidade de evidências de divulgação, mas não pode por si só responder a todas as perguntas internas de controle, então este artigo o trata como evidência para a alegação que pode realmente sustentar.
O limite importa tanto quanto o fato. A divulgação de risco é útil apenas quando dá aos leitores evidências suficientes para entender a incerteza. O leitor não deve ter que adivinhar se uma frase vem de uma divulgação da empresa, de um regulador, de um tribunal, de um cliente, de um pesquisador técnico ou de um padrão setorial. Quando o tipo de fonte é explícito, o artigo pode dizer de forma menos dramática, mas mais precisa: aqui está o que o registro prova, aqui está o que sugere e aqui está o que permanece não comprovado.
A mesma disciplina altera a remediação. Se o único reparo prometido é uma garantia ampla, o próximo conselho ou cliente não pode testá-lo. Se o reparo estiver vinculado a evidências de fonte, como GAO, 2022-01-13, revisão federal (https://www.gao.gov/products/gao-22-104746) e Mandiant / FireEye, 2020-12-13, relatório técnico do respondedor de incidentes (https://cloud.google.com/blog/topics/threat-intelligence/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor/), então a organização pode ser questionada sobre datas, escopo, exceções, resultados de testes e dependências remanescentes. Essa é a diferença entre recuperação de reputação e recuperação responsável.
O arquivo do investidor teve que distinguir alegações de fatos
O arquivo do investidor teve que distinguir alegações de fatos é o lugar certo para começar porque a questão de responsabilidade não é apenas que um sistema de compilação foi comprometido; é se as descrições de risco, as alegações de controle e as declarações de remediação estavam vinculadas a evidências verificáveis, em vez de linguagem de confiança. O comprometimento do SolarWinds Orion foi seguido por resposta governamental, avisos a clientes, litígios de valores mobiliários e um registro de arquivamento posterior que ainda deixou a qualidade das evidências das declarações públicas de segurança como um problema de governança.
A questão de responsabilidade pública não é, portanto, se a organização passou por um incidente difícil; é se as pessoas fora da sala de controle podiam ver evidências suficientes para entender o que mudou, quem controlou essa mudança e quais riscos permaneciam abertos.
Para a SolarWinds North America, Inc., a superfície de controle prática incluía declarações de risco, evidências internas de segurança, alegações e postura de arquivamento da SEC, avisos aos clientes, integridade da compilação, compromissos Secure by Design, relatórios ao conselho e prova de remediação pública. Essas palavras nomeiam diferentes equipes e diferentes deveres de prova.
Uma equipe de segurança pode ter logs, uma equipe de produto pode ter evidências de versão ou plataforma, uma equipe jurídica pode controlar a linguagem de aviso, o financeiro pode controlar as estimativas de perda e as equipes voltadas ao cliente podem controlar as explicações que as pessoas afetadas podem realmente usar. A responsabilidade aparece quando esses fragmentos são unidos em um único registro, em vez de serem deixados como memórias institucionais separadas.
Um limite de fonte para esta seção é CISA, a partir de 2020-12-13, índice de diretivas de emergência (https://www.cisa.gov/news-events/directives). É útil para o registro público em torno das declarações de risco de segurança da solarwinds, registro de litígio da sec e registro de responsabilidade de evidências de divulgação, mas não pode por si só responder a todas as perguntas internas de controle, então este artigo o trata como evidência para a alegação que pode realmente sustentar.
O limite importa tanto quanto o fato. O artigo trata o registro judicial e da SEC como postura legal, e não como auditoria forense. O leitor não deve ter que adivinhar se uma frase vem de uma divulgação da empresa, de um regulador, de um tribunal, de um cliente, de um pesquisador técnico ou de um padrão setorial. Quando o tipo de fonte é explícito, o artigo pode dizer de forma menos dramática, mas mais precisa: aqui está o que o registro prova, aqui está o que sugere e aqui está o que permanece não comprovado.
A mesma disciplina altera a remediação. Se o único reparo prometido é uma garantia ampla, o próximo conselho ou cliente não pode testá-lo. Se o reparo estiver vinculado a evidências de fonte, como GAO, 2021-05-25, depoimento ao Congresso (https://www.gao.gov/products/gao-21-594t) e Mandiant / FireEye, 2020-12-24, análise de malware (https://cloud.google.com/blog/topics/threat-intelligence/sunburst-additional-technical-details/), então a organização pode ser questionada sobre datas, escopo, exceções, resultados de testes e dependências remanescentes. Essa é a diferença entre recuperação de reputação e recuperação responsável.
Um sistema de divulgação melhor preservaria contradições
Um sistema de divulgação melhor preservaria contradições é o lugar certo para começar porque a questão de responsabilidade não é apenas que um sistema de compilação foi comprometido; é se as descrições de risco, as alegações de controle e as declarações de remediação estavam vinculadas a evidências verificáveis, em vez de linguagem de confiança. O comprometimento do SolarWinds Orion foi seguido por resposta governamental, avisos a clientes, litígios de valores mobiliários e um registro de arquivamento posterior que ainda deixou a qualidade das evidências das declarações públicas de segurança como um problema de governança.
A questão de responsabilidade pública não é, portanto, se a organização passou por um incidente difícil; é se as pessoas fora da sala de controle podiam ver evidências suficientes para entender o que mudou, quem controlou essa mudança e quais riscos permaneciam abertos.
Para a SolarWinds North America, Inc., a superfície de controle prática incluía declarações de risco, evidências internas de segurança, alegações e postura de arquivamento da SEC, avisos aos clientes, integridade da compilação, compromissos Secure by Design, relatórios ao conselho e prova de remediação pública. Essas palavras nomeiam diferentes equipes e diferentes deveres de prova.
Uma equipe de segurança pode ter logs, uma equipe de produto pode ter evidências de versão ou plataforma, uma equipe jurídica pode controlar a linguagem de aviso, o financeiro pode controlar as estimativas de perda e as equipes voltadas ao cliente podem controlar as explicações que as pessoas afetadas podem realmente usar. A responsabilidade aparece quando esses fragmentos são unidos em um único registro, em vez de serem deixados como memórias institucionais separadas.
Um limite de fonte para esta seção é CISA, 2021-05-13, orientação de recuperação (https://www.cisa.gov/news-events/news/cisa-releases-eviction-guidance-help-organizations-remove-russian-state-sponsored-threats). É útil para o registro público em torno das declarações de risco de segurança da solarwinds, registro de litígio da sec e registro de responsabilidade de evidências de divulgação, mas não pode por si só responder a todas as perguntas internas de controle, então este artigo o trata como evidência para a alegação que pode realmente sustentar.
O limite importa tanto quanto o fato. A diferença importante é entre versões afetadas, instalações, alvos selecionados e comprometimento subsequente. O leitor não deve ter que adivinhar se uma frase vem de uma divulgação da empresa, de um regulador, de um tribunal, de um cliente, de um pesquisador técnico ou de um padrão setorial. Quando o tipo de fonte é explícito, o artigo pode dizer de forma menos dramática, mas mais precisa: aqui está o que o registro prova, aqui está o que sugere e aqui está o que permanece não comprovado.
A mesma disciplina altera a remediação. Se o único reparo prometido é uma garantia ampla, o próximo conselho ou cliente não pode testá-lo. Se o reparo estiver vinculado a evidências de fonte, como U.S. Department of Justice, 2021-01-06, declaração da agência (https://www.justice.gov/archives/opa/pr/department-justice-statement-solarwinds-update) e CrowdStrike, 2021-01-11, análise técnica (https://www.crowdstrike.com/en-us/blog/sunspot-malware-technical-analysis/), então a organização pode ser questionada sobre datas, escopo, exceções, resultados de testes e dependências remanescentes. Essa é a diferença entre recuperação de reputação e recuperação responsável.
Incógnitas residuais definem a próxima revisão
Incógnitas residuais definem a próxima revisão é o lugar certo para começar porque a questão de responsabilidade não é apenas que um sistema de compilação foi comprometido; é se as descrições de risco, as alegações de controle e as declarações de remediação estavam vinculadas a evidências verificáveis, em vez de linguagem de confiança. O comprometimento do SolarWinds Orion foi seguido por resposta governamental, avisos a clientes, litígios de valores mobiliários e um registro de arquivamento posterior que ainda deixou a qualidade das evidências das declarações públicas de segurança como um problema de governança.
A questão de responsabilidade pública não é, portanto, se a organização passou por um incidente difícil; é se as pessoas fora da sala de controle podiam ver evidências suficientes para entender o que mudou, quem controlou essa mudança e quais riscos permaneciam abertos.
Para a SolarWinds North America, Inc., a superfície de controle prática incluía declarações de risco, evidências internas de segurança, alegações e postura de arquivamento da SEC, avisos aos clientes, integridade da compilação, compromissos Secure by Design, relatórios ao conselho e prova de remediação pública. Essas palavras nomeiam diferentes equipes e diferentes deveres de prova.
Uma equipe de segurança pode ter logs, uma equipe de produto pode ter evidências de versão ou plataforma, uma equipe jurídica pode controlar a linguagem de aviso, o financeiro pode controlar as estimativas de perda e as equipes voltadas ao cliente podem controlar as explicações que as pessoas afetadas podem realmente usar. A responsabilidade aparece quando esses fragmentos são unidos em um único registro, em vez de serem deixados como memórias institucionais separadas.
Um limite de fonte para esta seção é CISA, NSA, FBI, 2021-04-15, atribuição e aviso (https://www.cisa.gov/news-events/alerts/2021/04/15/nsa-cisa-fbi-joint-advisory-russian-svr-targeting-us-and-allied). É útil para o registro público em torno das declarações de risco de segurança da solarwinds, registro de litígio da sec e registro de responsabilidade de evidências de divulgação, mas não pode por si só responder a todas as perguntas internas de controle, então este artigo o trata como evidência para a alegação que pode realmente sustentar.
O limite importa tanto quanto o fato. As alegações de desenvolvimento seguro têm que estar vinculadas a artefatos que um externo possa testar ou pelo menos auditar. O leitor não deve ter que adivinhar se uma frase vem de uma divulgação da empresa, de um regulador, de um tribunal, de um cliente, de um pesquisador técnico ou de um padrão setorial. Quando o tipo de fonte é explícito, o artigo pode dizer de forma menos dramática, mas mais precisa: aqui está o que o registro prova, aqui está o que sugere e aqui está o que permanece não comprovado.
A mesma disciplina altera a remediação. Se o único reparo prometido é uma garantia ampla, o próximo conselho ou cliente não pode testá-lo. Se o reparo estiver vinculado a evidências de fonte, como FBI, 2021-03-18, depoimento ao Senado (https://www.justice.gov/ola/understanding-and-responding-solar-winds-supply-chain-attack-federal-perspective) e SolarWinds, 2021-01-11, atualização da empresa (https://www.solarwinds.com/blog/new-findings-from-our-investigation-of-sunburst), então a organização pode ser questionada sobre datas, escopo, exceções, resultados de testes e dependências remanescentes. Essa é a diferença entre recuperação de reputação e recuperação responsável.
O registro responsável é um mapa de evidências
O registro responsável é um mapa de evidências é o lugar certo para começar porque a questão de responsabilidade não é apenas que um sistema de compilação foi comprometido; é se as descrições de risco, as alegações de controle e as declarações de remediação estavam vinculadas a evidências verificáveis, em vez de linguagem de confiança. O comprometimento do SolarWinds Orion foi seguido por resposta governamental, avisos a clientes, litígios de valores mobiliários e um registro de arquivamento posterior que ainda deixou a qualidade das evidências das declarações públicas de segurança como um problema de governança.
A questão de responsabilidade pública não é, portanto, se a organização passou por um incidente difícil; é se as pessoas fora da sala de controle podiam ver evidências suficientes para entender o que mudou, quem controlou essa mudança e quais riscos permaneciam abertos.
Para a SolarWinds North America, Inc., a superfície de controle prática incluía declarações de risco, evidências internas de segurança, alegações e postura de arquivamento da SEC, avisos aos clientes, integridade da compilação, compromissos Secure by Design, relatórios ao conselho e prova de remediação pública. Essas palavras nomeiam diferentes equipes e diferentes deveres de prova.
Uma equipe de segurança pode ter logs, uma equipe de produto pode ter evidências de versão ou plataforma, uma equipe jurídica pode controlar a linguagem de aviso, o financeiro pode controlar as estimativas de perda e as equipes voltadas ao cliente podem controlar as explicações que as pessoas afetadas podem realmente usar. A responsabilidade aparece quando esses fragmentos são unidos em um único registro, em vez de serem deixados como memórias institucionais separadas.
Um limite de fonte para esta seção é NSA, 2020-12-17, aviso de cibersegurança (https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2451159/nsa-cybersecurity-advisory-malicious-actors-abuse-authentication-mechanisms-to/). É útil para o registro público em torno das declarações de risco de segurança da solarwinds, registro de litígio da sec e registro de responsabilidade de evidências de divulgação, mas não pode por si só responder a todas as perguntas internas de controle, então este artigo o trata como evidência para a alegação que pode realmente sustentar.
O limite importa tanto quanto o fato. A divulgação de risco é útil apenas quando dá aos leitores evidências suficientes para entender a incerteza. O leitor não deve ter que adivinhar se uma frase vem de uma divulgação da empresa, de um regulador, de um tribunal, de um cliente, de um pesquisador técnico ou de um padrão setorial. Quando o tipo de fonte é explícito, o artigo pode dizer de forma menos dramática, mas mais precisa: aqui está o que o registro prova, aqui está o que sugere e aqui está o que permanece não comprovado.
A mesma disciplina altera a remediação. Se o único reparo prometido é uma garantia ampla, o próximo conselho ou cliente não pode testá-lo. Se o reparo estiver vinculado a evidências de fonte, como U.S. Senate Select Committee on Intelligence, 2021-02-23, registro de audiência (https://www.intelligence.senate.gov/2021/02/18/hearings-open-hearing-hearing-hack-us-networks-foreign-adversary/) e SolarWinds, 2021-05-07, atualização da empresa (https://www.solarwinds.com/blog/an-investigative-update-of-the-cyberattack), então a organização pode ser questionada sobre datas, escopo, exceções, resultados de testes e dependências remanescentes. Essa é a diferença entre recuperação de reputação e recuperação responsável.
Arquivo de evidências do leitor
O artigo usa as seguintes fontes públicas como arquivo de leitura para declarações de risco de segurança da solarwinds e registro de evidências de divulgação. Cada fonte é tratada com limites: declarações da empresa provam o que a empresa disse ou relatou, registros judiciais provam postura legal, registros regulatórios provam ação ou alegação oficial, postagens técnicas provam mecânica observada dentro de seu escopo e documentos normativos fornecem parâmetros de controle, em vez de conclusões retrospectivas.
- Mandiant / FireEye, 2020-12-13, relatório técnico do respondedor de incidentes:https://cloud.google.com/blog/topics/threat-intelligence/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor/
- Mandiant / FireEye, 2020-12-24, análise de malware:https://cloud.google.com/blog/topics/threat-intelligence/sunburst-additional-technical-details/
- CrowdStrike, 2021-01-11, análise técnica:https://www.crowdstrike.com/en-us/blog/sunspot-malware-technical-analysis/
- SolarWinds, 2021-01-11, atualização da empresa:https://www.solarwinds.com/blog/new-findings-from-our-investigation-of-sunburst
- SolarWinds, 2021-05-07, atualização da empresa:https://www.solarwinds.com/blog/an-investigative-update-of-the-cyberattack
- SolarWinds, 2020-12-14, SEC Form 8-K:https://www.sec.gov/Archives/edgar/data/1739942/000162828020017451/swi-20201214.htm
- SolarWinds, 2021-03-01, Form 10-K:https://www.sec.gov/Archives/edgar/data/1739942/000173994221000043/swi-20201231.htm
- CISA, 2020-12-13, alerta governamental:https://www.cisa.gov/news-events/alerts/2020/12/13/active-exploitation-solarwinds-software
- CISA, a partir de 2020-12-13, índice de diretivas de emergência:https://www.cisa.gov/news-events/directives
- CISA, 2021-05-13, orientação de recuperação:https://www.cisa.gov/news-events/news/cisa-releases-eviction-guidance-help-organizations-remove-russian-state-sponsored-threats
- CISA, NSA, FBI, 2021-04-15, atribuição e aviso:https://www.cisa.gov/news-events/alerts/2021/04/15/nsa-cisa-fbi-joint-advisory-russian-svr-targeting-us-and-allied
- NSA, 2020-12-17, aviso de cibersegurança:https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2451159/nsa-cybersecurity-advisory-malicious-actors-abuse-authentication-mechanisms-to/
- GAO, 2022-01-13, revisão federal:https://www.gao.gov/products/gao-22-104746
- GAO, 2021-05-25, depoimento ao Congresso:https://www.gao.gov/products/gao-21-594t
- U.S. Department of Justice, 2021-01-06, declaração da agência:https://www.justice.gov/archives/opa/pr/department-justice-statement-solarwinds-update
- FBI, 2021-03-18, depoimento ao Senado:https://www.justice.gov/ola/understanding-and-responding-solar-winds-supply-chain-attack-federal-perspective
Este arquivo de evidências é deliberadamente mais amplo do que um único aviso de violação porque as declarações de risco de segurança da solarwinds, o registro de litígio da sec e o registro de responsabilidade de evidências de divulgação afetaram mais de um público. O registro público tem que apoiar clientes que precisam de ação prática, gerentes que precisam de um plano de reparo, reguladores que precisam de escopo e leitores que precisam saber quais alegações permanecem incertas.
Perguntas para revisão do conselho
O arquivo de revisão deve nomear o proprietário prático de cada decisão, a data em que a decisão foi tomada, as evidências usadas e o público que dependia dela. Sem essa estrutura, o mesmo incidente pode ser recontado posteriormente como uma falha técnica, uma disputa legal, um problema de atendimento ao cliente ou um problema financeiro, sem uma base estável para decidir qual relato é completo.
Um registro de responsabilidade útil também preserva a incerteza. Deve dizer o que é conhecido a partir de declarações da empresa, o que é conhecido a partir de registros governamentais ou judiciais, o que é conhecido a partir de respondedores de incidentes externos e o que permanece inferido. Essa separação protege os leitores de falsa precisão e protege a organização de tratar a confiança precoce como prova.
O controle importante não é uma resposta heroica após o fato. É a capacidade de mostrar, enquanto o evento ainda está em andamento, qual evidência mudaria uma decisão. Se um aviso ao cliente, um relatório do conselho, uma reclamação de seguro ou uma atualização regulatória seria diferente após mais uma revisão de log, essa dependência deve estar visível no registro.
Para este caso específico, uma revisão do conselho deve perguntar quem tinha controle prático sobre as declarações de risco, as evidências internas de segurança, as alegações públicas de remediação, os avisos aos clientes, os relatórios ao conselho e a prova de que a linguagem de segurança correspondia ao registro real de integridade da versão? A resposta não deve ser apenas uma narrativa. Deve incluir evidências datadas, proprietários nomeados, públicos afetados, compromissos voltados ao cliente e uma lista de fatos que a organização ainda não conseguia provar quando o registro público foi feito.

