Resumo
- O comprometimento do SolarWinds Orion foi seguido por uma resposta governamental, alertas aos clientes, litígios de valores mobiliários e um arquivamento de rejeição posterior que deixou a qualidade das evidências das declarações de segurança pública como um problema de governança.
- Quem tinha o controle prático sobre as declarações de risco, as evidências de segurança internas, as declarações públicas de remediação, os alertas aos clientes, os relatórios ao conselho de administração e a prova de que a linguagem de segurança correspondia ao registro real de integridade das versões?
- A questão da responsabilidade não é apenas que um sistema de compilação foi comprometido; é saber se as descrições de riscos, as declarações de controle e as declarações de remediação estavam ligadas a evidências verificáveis, e não a uma linguagem de confiança.
- Clientes, agências, investidores, compradores de software, respondedores a incidentes, administradores e responsáveis pela segurança precisavam de um registro separando alegações, conclusões, declarações da empresa e evidências técnicas independentes.
- O artigo mantém a separação entre alegações, declarações da empresa, registros regulatórios, conclusões técnicas, posição judicial e incógnitas residuais para que a responsabilidade se baseie em evidências, e não na força da narrativa.
A linguagem do risco tornou-se parte integrante da superfície de controle
« A linguagem do risco tornou-se parte integrante da superfície de controle » é o ponto de partida correto, pois a questão da responsabilidade não é apenas que um sistema de compilação foi comprometido; é saber se as descrições de riscos, as declarações de controle e as declarações de remediação estavam ligadas a evidências verificáveis, e não a uma linguagem de confiança.
O comprometimento do SolarWinds Orion foi seguido por uma resposta governamental, alertas aos clientes, litígios de valores mobiliários e um arquivamento de rejeição posterior que deixou a qualidade das evidências das declarações de segurança pública como um problema de governança. Portanto, a questão da responsabilidade pública não é saber se a organização enfrentou um incidente difícil; é saber se as pessoas fora da sala de controle podiam ver evidências suficientes para entender o que mudou, quem controlou essa mudança e quais riscos permaneceram abertos.
Para a SolarWinds North America, Inc., a superfície de controle prática incluía declarações de risco, evidências de segurança internas, alegações da SEC e a postura de rejeição, alertas aos clientes, integridade das compilações, compromissos Secure by Design, relatórios ao conselho de administração e evidências públicas de remediação. Essas palavras referem-se a equipes diferentes e diferentes ônus de prova.
Uma equipe de segurança pode ter logs, uma equipe de produto pode ter evidências de versão ou plataforma, uma equipe jurídica pode controlar a linguagem dos avisos, as finanças podem controlar as estimativas de perdas, e as equipes de contato com o cliente podem controlar as explicações que as pessoas afetadas realmente podem usar. A responsabilidade surge quando esses fragmentos são reunidos em um único registro, em vez de serem deixados como memórias institucionais separadas.
Uma limitação de fonte para esta seção é o relatório técnico do respondedor a incidentes da Mandiant / FireEye, 2020-12-13 (https://cloud.google.com/blog/topics/threat-intelligence/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor/). Ele é útil para o registro público sobre as declarações de risco de segurança da SolarWinds, o processo da SEC e o registro de responsabilidade na divulgação de evidências, mas não pode responder sozinho a todas as questões de controle interno, portanto, este artigo o trata como uma evidência para a afirmação que ele pode realmente apoiar.
A limitação é tão importante quanto o fato. O artigo trata o registro judicial e da SEC como uma posição jurídica, e não como uma auditoria forense. Um leitor não deveria ter que adivinhar se uma frase vem de uma declaração da empresa, de um regulador, de um tribunal, de um cliente, de um pesquisador técnico ou de uma norma setorial. Quando o tipo de fonte é explícito, o artigo pode dizer de forma menos dramática, mas mais precisa: aqui está o que o registro prova, aqui está o que ele sugere e aqui está o que permanece não comprovado.
A mesma disciplina muda a remediação. Se a única reparação prometida é uma garantia ampla, o próximo conselho de administração ou cliente não pode testá-la. Se a reparação está ligada a evidências de fonte, como SolarWinds, 2020-12-14, SEC Form 8-K (https://www.sec.gov/Archives/edgar/data/1739942/000162828020017451/swi-20201214.htm) e NSA, 2020-12-17, aviso de cibersegurança (https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2451159/nsa-cybersecurity-advisory-malicious-actors-abuse-authentication-mechanisms-to/), então a organização pode ser questionada sobre datas, escopo, exceções, resultados de testes e dependências restantes. Essa é a diferença entre uma recuperação de reputação e uma recuperação responsável.
O arquivamento de rejeição não certificou o ambiente de compilação
« O arquivamento de rejeição não certificou o ambiente de compilação » é o ponto de partida correto, pois a questão da responsabilidade não é apenas que um sistema de compilação foi comprometido; é saber se as descrições de riscos, as declarações de controle e as declarações de remediação estavam ligadas a evidências verificáveis, e não a uma linguagem de confiança.
O comprometimento do SolarWinds Orion foi seguido por uma resposta governamental, alertas aos clientes, litígios de valores mobiliários e um arquivamento de rejeição posterior que deixou a qualidade das evidências das declarações de segurança pública como um problema de governança. Portanto, a questão da responsabilidade pública não é saber se a organização enfrentou um incidente difícil; é saber se as pessoas fora da sala de controle podiam ver evidências suficientes para entender o que mudou, quem controlou essa mudança e quais riscos permaneceram abertos.
Para a SolarWinds North America, Inc., a superfície de controle prática incluía declarações de risco, evidências de segurança internas, alegações da SEC e a postura de rejeição, alertas aos clientes, integridade das compilações, compromissos Secure by Design, relatórios ao conselho de administração e evidências públicas de remediação. Essas palavras referem-se a equipes diferentes e diferentes ônus de prova.
Uma equipe de segurança pode ter logs, uma equipe de produto pode ter evidências de versão ou plataforma, uma equipe jurídica pode controlar a linguagem dos avisos, as finanças podem controlar as estimativas de perdas, e as equipes de contato com o cliente podem controlar as explicações que as pessoas afetadas realmente podem usar. A responsabilidade surge quando esses fragmentos são reunidos em um único registro, em vez de serem deixados como memórias institucionais separadas.
Uma limitação de fonte para esta seção é a análise de malware da Mandiant / FireEye, 2020-12-24 (https://cloud.google.com/blog/topics/threat-intelligence/sunburst-additional-technical-details/). Ele é útil para o registro público sobre as declarações de risco de segurança da SolarWinds, o processo da SEC e o registro de responsabilidade na divulgação de evidências, mas não pode responder sozinho a todas as questões de controle interno, portanto, este artigo o trata como uma evidência para a afirmação que ele pode realmente apoiar.
A diferença importante diz respeito às versões afetadas, instalações, alvos selecionados e comprometimentos posteriores. Um leitor não deveria ter que adivinhar se uma frase vem de uma declaração da empresa, de um regulador, de um tribunal, de um cliente, de um pesquisador técnico ou de uma norma setorial. Quando o tipo de fonte é explícito, o artigo pode dizer de forma menos dramática, mas mais precisa: aqui está o que o registro prova, aqui está o que ele sugere e aqui está o que permanece não comprovado.
A mesma disciplina muda a remediação. Se a única reparação prometida é uma garantia ampla, o próximo conselho de administração ou cliente não pode testá-la. Se a reparação está ligada a evidências de fonte, como SolarWinds, 2021-03-01, Form 10-K (https://www.sec.gov/Archives/edgar/data/1739942/000173994221000043/swi-20201231.htm) e GAO, 2022-01-13, exame federal (https://www.gao.gov/products/gao-22-104746), então a organização pode ser questionada sobre datas, escopo, exceções, resultados de testes e dependências restantes. Essa é a diferença entre uma recuperação de reputação e uma recuperação responsável.
Os clientes precisavam de alertas correspondentes à exposição operacional
« Os clientes precisavam de alertas correspondentes à exposição operacional » é o ponto de partida correto, pois a questão da responsabilidade não é apenas que um sistema de compilação foi comprometido; é saber se as descrições de riscos, as declarações de controle e as declarações de remediação estavam ligadas a evidências verificáveis, e não a uma linguagem de confiança.
O comprometimento do SolarWinds Orion foi seguido por uma resposta governamental, alertas aos clientes, litígios de valores mobiliários e um arquivamento de rejeição posterior que deixou a qualidade das evidências das declarações de segurança pública como um problema de governança. Portanto, a questão da responsabilidade pública não é saber se a organização enfrentou um incidente difícil; é saber se as pessoas fora da sala de controle podiam ver evidências suficientes para entender o que mudou, quem controlou essa mudança e quais riscos permaneceram abertos.
Para a SolarWinds North America, Inc., a superfície de controle prática incluía declarações de risco, evidências de segurança internas, alegações da SEC e a postura de rejeição, alertas aos clientes, integridade das compilações, compromissos Secure by Design, relatórios ao conselho de administração e evidências públicas de remediação. Essas palavras referem-se a equipes diferentes e diferentes ônus de prova.
Uma equipe de segurança pode ter logs, uma equipe de produto pode ter evidências de versão ou plataforma, uma equipe jurídica pode controlar a linguagem dos avisos, as finanças podem controlar as estimativas de perdas, e as equipes de contato com o cliente podem controlar as explicações que as pessoas afetadas realmente podem usar. A responsabilidade surge quando esses fragmentos são reunidos em um único registro, em vez de serem deixados como memórias institucionais separadas.
Uma limitação de fonte para esta seção é a análise técnica da CrowdStrike, 2021-01-11 (https://www.crowdstrike.com/en-us/blog/sunspot-malware-technical-analysis/). Ele é útil para o registro público sobre as declarações de risco de segurança da SolarWinds, o processo da SEC e o registro de responsabilidade na divulgação de evidências, mas não pode responder sozinho a todas as questões de controle interno, portanto, este artigo o trata como uma evidência para a afirmação que ele pode realmente apoiar.
As afirmações de desenvolvimento seguro devem estar ligadas a artefatos que um observador externo pode testar ou pelo menos auditar. Um leitor não deveria ter que adivinhar se uma frase vem de uma declaração da empresa, de um regulador, de um tribunal, de um cliente, de um pesquisador técnico ou de uma norma setorial. Quando o tipo de fonte é explícito, o artigo pode dizer de forma menos dramática, mas mais precisa: aqui está o que o registro prova, aqui está o que ele sugere e aqui está o que permanece não comprovado.
A mesma disciplina muda a remediação. Se a única reparação prometida é uma garantia ampla, o próximo conselho de administração ou cliente não pode testá-la. Se a reparação está ligada a evidências de fonte, como CISA, 2020-12-13, alerta governamental (https://www.cisa.gov/news-events/alerts/2020/12/13/active-exploitation-solarwinds-software) e GAO, 2021-05-25, depoimento ao Congresso (https://www.gao.gov/products/gao-21-594t), então a organização pode ser questionada sobre datas, escopo, exceções, resultados de testes e dependências restantes. Essa é a diferença entre uma recuperação de reputação e uma recuperação responsável.
As evidências internas precisavam sobreviver à transcrição jurídica
« As evidências internas precisavam sobreviver à transcrição jurídica » é o ponto de partida correto, pois a questão da responsabilidade não é apenas que um sistema de compilação foi comprometido; é saber se as descrições de riscos, as declarações de controle e as declarações de remediação estavam ligadas a evidências verificáveis, e não a uma linguagem de confiança.
O comprometimento do SolarWinds Orion foi seguido por uma resposta governamental, alertas aos clientes, litígios de valores mobiliários e um arquivamento de rejeição posterior que deixou a qualidade das evidências das declarações de segurança pública como um problema de governança. Portanto, a questão da responsabilidade pública não é saber se a organização enfrentou um incidente difícil; é saber se as pessoas fora da sala de controle podiam ver evidências suficientes para entender o que mudou, quem controlou essa mudança e quais riscos permaneceram abertos.
Para a SolarWinds North America, Inc., a superfície de controle prática incluía declarações de risco, evidências de segurança internas, alegações da SEC e a postura de rejeição, alertas aos clientes, integridade das compilações, compromissos Secure by Design, relatórios ao conselho de administração e evidências públicas de remediação. Essas palavras referem-se a equipes diferentes e diferentes ônus de prova.
Uma equipe de segurança pode ter logs, uma equipe de produto pode ter evidências de versão ou plataforma, uma equipe jurídica pode controlar a linguagem dos avisos, as finanças podem controlar as estimativas de perdas, e as equipes de contato com o cliente podem controlar as explicações que as pessoas afetadas realmente podem usar. A responsabilidade surge quando esses fragmentos são reunidos em um único registro, em vez de serem deixados como memórias institucionais separadas.
Uma limitação de fonte para esta seção é a atualização da empresa SolarWinds, 2021-01-11 (https://www.solarwinds.com/blog/new-findings-from-our-investigation-of-sunburst). Ele é útil para o registro público sobre as declarações de risco de segurança da SolarWinds, o processo da SEC e o registro de responsabilidade na divulgação de evidências, mas não pode responder sozinho a todas as questões de controle interno, portanto, este artigo o trata como uma evidência para a afirmação que ele pode realmente apoiar.
A divulgação de riscos só é útil quando dá aos leitores evidências suficientes para entender a incerteza. Um leitor não deveria ter que adivinhar se uma frase vem de uma declaração da empresa, de um regulador, de um tribunal, de um cliente, de um pesquisador técnico ou de uma norma setorial. Quando o tipo de fonte é explícito, o artigo pode dizer de forma menos dramática, mas mais precisa: aqui está o que o registro prova, aqui está o que ele sugere e aqui está o que permanece não comprovado.
A mesma disciplina muda a remediação. Se a única reparação prometida é uma garantia ampla, o próximo conselho de administração ou cliente não pode testá-la. Se a reparação está ligada a evidências de fonte, como CISA, 2020-12-13 e seguintes, índice de diretivas de emergência (https://www.cisa.gov/news-events/directives) e o Departamento de Justiça dos EUA, 2021-01-06, declaração da agência (https://www.justice.gov/archives/opa/pr/department-justice-statement-solarwinds-update), então a organização pode ser questionada sobre datas, escopo, exceções, resultados de testes e dependências restantes. Essa é a diferença entre uma recuperação de reputação e uma recuperação responsável.
Os relatórios ao conselho de administração exigiam rastreabilidade, não slogans
« Os relatórios ao conselho de administração exigiam rastreabilidade, não slogans » é o ponto de partida correto, pois a questão da responsabilidade não é apenas que um sistema de compilação foi comprometido; é saber se as descrições de riscos, as declarações de controle e as declarações de remediação estavam ligadas a evidências verificáveis, e não a uma linguagem de confiança.
O comprometimento do SolarWinds Orion foi seguido por uma resposta governamental, alertas aos clientes, litígios de valores mobiliários e um arquivamento de rejeição posterior que deixou a qualidade das evidências das declarações de segurança pública como um problema de governança. Portanto, a questão da responsabilidade pública não é saber se a organização enfrentou um incidente difícil; é saber se as pessoas fora da sala de controle podiam ver evidências suficientes para entender o que mudou, quem controlou essa mudança e quais riscos permaneceram abertos.
Para a SolarWinds North America, Inc., a superfície de controle prática incluía declarações de risco, evidências de segurança internas, alegações da SEC e a postura de rejeição, alertas aos clientes, integridade das compilações, compromissos Secure by Design, relatórios ao conselho de administração e evidências públicas de remediação. Essas palavras referem-se a equipes diferentes e diferentes ônus de prova.
Uma equipe de segurança pode ter logs, uma equipe de produto pode ter evidências de versão ou plataforma, uma equipe jurídica pode controlar a linguagem dos avisos, as finanças podem controlar as estimativas de perdas, e as equipes de contato com o cliente podem controlar as explicações que as pessoas afetadas realmente podem usar. A responsabilidade surge quando esses fragmentos são reunidos em um único registro, em vez de serem deixados como memórias institucionais separadas.
Uma limitação de fonte para esta seção é a atualização da empresa SolarWinds, 2021-05-07 (https://www.solarwinds.com/blog/an-investigative-update-of-the-cyberattack). Ele é útil para o registro público sobre as declarações de risco de segurança da SolarWinds, o processo da SEC e o registro de responsabilidade na divulgação de evidências, mas não pode responder sozinho a todas as questões de controle interno, portanto, este artigo o trata como uma evidência para a afirmação que ele pode realmente apoiar.
O artigo trata o registro judicial e da SEC como uma posição jurídica, e não como uma auditoria forense. Um leitor não deveria ter que adivinhar se uma frase vem de uma declaração da empresa, de um regulador, de um tribunal, de um cliente, de um pesquisador técnico ou de uma norma setorial. Quando o tipo de fonte é explícito, o artigo pode dizer de forma menos dramática, mas mais precisa: aqui está o que o registro prova, aqui está o que ele sugere e aqui está o que permanece não comprovado.
A mesma disciplina muda a remediação. Se a única reparação prometida é uma garantia ampla, o próximo conselho de administração ou cliente não pode testá-la. Se a reparação está ligada a evidências de fonte, como CISA, 2021-05-13, guia de recuperação (https://www.cisa.gov/news-events/news/cisa-releases-eviction-guidance-help-organizations-remove-russian-state-sponsored-threats) e FBI, 2021-03-18, depoimento ao Senado (https://www.justice.gov/ola/understanding-and-responding-solar-winds-supply-chain-attack-federal-perspective), então a organização pode ser questionada sobre datas, escopo, exceções, resultados de testes e dependências restantes. Essa é a diferença entre uma recuperação de reputação e uma recuperação responsável.
A resposta governamental ampliou o público da responsabilidade
« A resposta governamental ampliou o público da responsabilidade » é o ponto de partida correto, pois a questão da responsabilidade não é apenas que um sistema de compilação foi comprometido; é saber se as descrições de riscos, as declarações de controle e as declarações de remediação estavam ligadas a evidências verificáveis, e não a uma linguagem de confiança. O comprometimento do SolarWinds Orion foi seguido por uma resposta governamental, alertas aos clientes, litígios de valores mobiliários e um arquivamento de rejeição posterior que deixou a qualidade das evidências das declarações de segurança pública como um problema de governança.
Portanto, a questão da responsabilidade pública não é saber se a organização enfrentou um incidente difícil; é saber se as pessoas fora da sala de controle podiam ver evidências suficientes para entender o que mudou, quem controlou essa mudança e quais riscos permaneceram abertos.
Para a SolarWinds North America, Inc., a superfície de controle prática incluía declarações de risco, evidências de segurança internas, alegações da SEC e a postura de rejeição, alertas aos clientes, integridade das compilações, compromissos Secure by Design, relatórios ao conselho de administração e evidências públicas de remediação. Essas palavras referem-se a equipes diferentes e diferentes ônus de prova.
Uma equipe de segurança pode ter logs, uma equipe de produto pode ter evidências de versão ou plataforma, uma equipe jurídica pode controlar a linguagem dos avisos, as finanças podem controlar as estimativas de perdas, e as equipes de contato com o cliente podem controlar as explicações que as pessoas afetadas realmente podem usar. A responsabilidade surge quando esses fragmentos são reunidos em um único registro, em vez de serem deixados como memórias institucionais separadas.
Uma limitação de fonte para esta seção é SolarWinds, 2020-12-14, SEC Form 8-K (https://www.sec.gov/Archives/edgar/data/1739942/000162828020017451/swi-20201214.htm). Ele é útil para o registro público sobre as declarações de risco de segurança da SolarWinds, o processo da SEC e o registro de responsabilidade na divulgação de evidências, mas não pode responder sozinho a todas as questões de controle interno, portanto, este artigo o trata como uma evidência para a afirmação que ele pode realmente apoiar.
A diferença importante diz respeito às versões afetadas, instalações, alvos selecionados e comprometimentos posteriores. Um leitor não deveria ter que adivinhar se uma frase vem de uma declaração da empresa, de um regulador, de um tribunal, de um cliente, de um pesquisador técnico ou de uma norma setorial. Quando o tipo de fonte é explícito, o artigo pode dizer de forma menos dramática, mas mais precisa: aqui está o que o registro prova, aqui está o que ele sugere e aqui está o que permanece não comprovado.
A mesma disciplina muda a remediação. Se a única reparação prometida é uma garantia ampla, o próximo conselho de administração ou cliente não pode testá-la. Se a reparação está ligada a evidências de fonte, como CISA, NSA, FBI, 2021-04-15, atribuição e aviso (https://www.cisa.gov/news-events/alerts/2021/04/15/nsa-cisa-fbi-joint-advisory-russian-svr-targeting-us-and-allied) e a Comissão de Inteligência do Senado dos EUA, 2021-02-23, ata de audiência (https://www.intelligence.senate.gov/2021/02/18/hearings-open-hearing-hearing-hack-us-networks-foreign-adversary/), então a organização pode ser questionada sobre datas, escopo, exceções, resultados de testes e dependências restantes. Essa é a diferença entre uma recuperação de reputação e uma recuperação responsável.
A garantia de software passou da confiança para evidências materiais
« A garantia de software passou da confiança para evidências materiais » é o ponto de partida correto, pois a questão da responsabilidade não é apenas que um sistema de compilação foi comprometido; é saber se as descrições de riscos, as declarações de controle e as declarações de remediação estavam ligadas a evidências verificáveis, e não a uma linguagem de confiança.
O comprometimento do SolarWinds Orion foi seguido por uma resposta governamental, alertas aos clientes, litígios de valores mobiliários e um arquivamento de rejeição posterior que deixou a qualidade das evidências das declarações de segurança pública como um problema de governança. Portanto, a questão da responsabilidade pública não é saber se a organização enfrentou um incidente difícil; é saber se as pessoas fora da sala de controle podiam ver evidências suficientes para entender o que mudou, quem controlou essa mudança e quais riscos permaneceram abertos.
Para a SolarWinds North America, Inc., a superfície de controle prática incluía declarações de risco, evidências de segurança internas, alegações da SEC e a postura de rejeição, alertas aos clientes, integridade das compilações, compromissos Secure by Design, relatórios ao conselho de administração e evidências públicas de remediação. Essas palavras referem-se a equipes diferentes e diferentes ônus de prova.
Uma equipe de segurança pode ter logs, uma equipe de produto pode ter evidências de versão ou plataforma, uma equipe jurídica pode controlar a linguagem dos avisos, as finanças podem controlar as estimativas de perdas, e as equipes de contato com o cliente podem controlar as explicações que as pessoas afetadas realmente podem usar. A responsabilidade surge quando esses fragmentos são reunidos em um único registro, em vez de serem deixados como memórias institucionais separadas.
Uma limitação de fonte para esta seção é SolarWinds, 2021-03-01, Form 10-K (https://www.sec.gov/Archives/edgar/data/1739942/000173994221000043/swi-20201231.htm). Ele é útil para o registro público sobre as declarações de risco de segurança da SolarWinds, o processo da SEC e o registro de responsabilidade na divulgação de evidências, mas não pode responder sozinho a todas as questões de controle interno, portanto, este artigo o trata como uma evidência para a afirmação que ele pode realmente apoiar.
As afirmações de desenvolvimento seguro devem estar ligadas a artefatos que um observador externo pode testar ou pelo menos auditar. Um leitor não deveria ter que adivinhar se uma frase vem de uma declaração da empresa, de um regulador, de um tribunal, de um cliente, de um pesquisador técnico ou de uma norma setorial. Quando o tipo de fonte é explícito, o artigo pode dizer de forma menos dramática, mas mais precisa: aqui está o que o registro prova, aqui está o que ele sugere e aqui está o que permanece não comprovado.
A mesma disciplina muda a remediação. Se a única reparação prometida é uma garantia ampla, o próximo conselho de administração ou cliente não pode testá-la. Se a reparação está ligada a evidências de fonte, como NSA, 2020-12-17, aviso de cibersegurança (https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2451159/nsa-cybersecurity-advisory-malicious-actors-abuse-authentication-mechanisms-to/) e Sudhakar Ramakrishna, 2021-02-23, depoimento escrito (https://www.intelligence.senate.gov/wp-content/uploads/2024/08/sites-default-files-documents-os-sramakrishna-022321.pdf), então a organização pode ser questionada sobre datas, escopo, exceções, resultados de testes e dependências restantes. Essa é a diferença entre uma recuperação de reputação e uma recuperação responsável.
As declarações públicas exigiam separação de fontes
« As declarações públicas exigiam separação de fontes » é o ponto de partida correto, pois a questão da responsabilidade não é apenas que um sistema de compilação foi comprometido; é saber se as descrições de riscos, as declarações de controle e as declarações de remediação estavam ligadas a evidências verificáveis, e não a uma linguagem de confiança. O comprometimento do SolarWinds Orion foi seguido por uma resposta governamental, alertas aos clientes, litígios de valores mobiliários e um arquivamento de rejeição posterior que deixou a qualidade das evidências das declarações de segurança pública como um problema de governança.
Portanto, a questão da responsabilidade pública não é saber se a organização enfrentou um incidente difícil; é saber se as pessoas fora da sala de controle podiam ver evidências suficientes para entender o que mudou, quem controlou essa mudança e quais riscos permaneceram abertos.
Para a SolarWinds North America, Inc., a superfície de controle prática incluía declarações de risco, evidências de segurança internas, alegações da SEC e a postura de rejeição, alertas aos clientes, integridade das compilações, compromissos Secure by Design, relatórios ao conselho de administração e evidências públicas de remediação. Essas palavras referem-se a equipes diferentes e diferentes ônus de prova.
Uma equipe de segurança pode ter logs, uma equipe de produto pode ter evidências de versão ou plataforma, uma equipe jurídica pode controlar a linguagem dos avisos, as finanças podem controlar as estimativas de perdas, e as equipes de contato com o cliente podem controlar as explicações que as pessoas afetadas realmente podem usar. A responsabilidade surge quando esses fragmentos são reunidos em um único registro, em vez de serem deixados como memórias institucionais separadas.
Uma limitação de fonte para esta seção é o alerta governamental da CISA, 2020-12-13 (https://www.cisa.gov/news-events/alerts/2020/12/13/active-exploitation-solarwinds-software). Ele é útil para o registro público sobre as declarações de risco de segurança da SolarWinds, o processo da SEC e o registro de responsabilidade na divulgação de evidências, mas não pode responder sozinho a todas as questões de controle interno, portanto, este artigo o trata como uma evidência para a afirmação que ele pode realmente apoiar.
A divulgação de riscos só é útil quando dá aos leitores evidências suficientes para entender a incerteza. Um leitor não deveria ter que adivinhar se uma frase vem de uma declaração da empresa, de um regulador, de um tribunal, de um cliente, de um pesquisador técnico ou de uma norma setorial. Quando o tipo de fonte é explícito, o artigo pode dizer de forma menos dramática, mas mais precisa: aqui está o que o registro prova, aqui está o que ele sugere e aqui está o que permanece não comprovado.
A mesma disciplina muda a remediação. Se a única reparação prometida é uma garantia ampla, o próximo conselho de administração ou cliente não pode testá-la. Se a reparação está ligada a evidências de fonte, como GAO, 2022-01-13, exame federal (https://www.gao.gov/products/gao-22-104746) e Mandiant / FireEye, 2020-12-13, relatório técnico do respondedor a incidentes (https://cloud.google.com/blog/topics/threat-intelligence/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor/), então a organização pode ser questionada sobre datas, escopo, exceções, resultados de testes e dependências restantes. Essa é a diferença entre uma recuperação de reputação e uma recuperação responsável.
O registro do investidor precisava distinguir alegações de fatos
« O registro do investidor precisava distinguir alegações de fatos » é o ponto de partida correto, pois a questão da responsabilidade não é apenas que um sistema de compilação foi comprometido; é saber se as descrições de riscos, as declarações de controle e as declarações de remediação estavam ligadas a evidências verificáveis, e não a uma linguagem de confiança. O comprometimento do SolarWinds Orion foi seguido por uma resposta governamental, alertas aos clientes, litígios de valores mobiliários e um arquivamento de rejeição posterior que deixou a qualidade das evidências das declarações de segurança pública como um problema de governança.
Portanto, a questão da responsabilidade pública não é saber se a organização enfrentou um incidente difícil; é saber se as pessoas fora da sala de controle podiam ver evidências suficientes para entender o que mudou, quem controlou essa mudança e quais riscos permaneceram abertos.
Para a SolarWinds North America, Inc., a superfície de controle prática incluía declarações de risco, evidências de segurança internas, alegações da SEC e a postura de rejeição, alertas aos clientes, integridade das compilações, compromissos Secure by Design, relatórios ao conselho de administração e evidências públicas de remediação. Essas palavras referem-se a equipes diferentes e diferentes ônus de prova.
Uma equipe de segurança pode ter logs, uma equipe de produto pode ter evidências de versão ou plataforma, uma equipe jurídica pode controlar a linguagem dos avisos, as finanças podem controlar as estimativas de perdas, e as equipes de contato com o cliente podem controlar as explicações que as pessoas afetadas realmente podem usar. A responsabilidade surge quando esses fragmentos são reunidos em um único registro, em vez de serem deixados como memórias institucionais separadas.
Uma limitação de fonte para esta seção é o índice de diretivas de emergência da CISA, 2020-12-13 e seguintes (https://www.cisa.gov/news-events/directives). Ele é útil para o registro público sobre as declarações de risco de segurança da SolarWinds, o processo da SEC e o registro de responsabilidade na divulgação de evidências, mas não pode responder sozinho a todas as questões de controle interno, portanto, este artigo o trata como uma evidência para a afirmação que ele pode realmente apoiar.
O artigo trata o registro judicial e da SEC como uma posição jurídica, e não como uma auditoria forense. Um leitor não deveria ter que adivinhar se uma frase vem de uma declaração da empresa, de um regulador, de um tribunal, de um cliente, de um pesquisador técnico ou de uma norma setorial. Quando o tipo de fonte é explícito, o artigo pode dizer de forma menos dramática, mas mais precisa: aqui está o que o registro prova, aqui está o que ele sugere e aqui está o que permanece não comprovado.
A mesma disciplina muda a remediação. Se a única reparação prometida é uma garantia ampla, o próximo conselho de administração ou cliente não pode testá-la. Se a reparação está ligada a evidências de fonte, como GAO, 2021-05-25, depoimento ao Congresso (https://www.gao.gov/products/gao-21-594t) e Mandiant / FireEye, 2020-12-24, análise de malware (https://cloud.google.com/blog/topics/threat-intelligence/sunburst-additional-technical-details/), então a organização pode ser questionada sobre datas, escopo, exceções, resultados de testes e dependências restantes. Essa é a diferença entre uma recuperação de reputação e uma recuperação responsável.
Um melhor sistema de divulgação preservaria as contradições
« Um melhor sistema de divulgação preservaria as contradições » é o ponto de partida correto, pois a questão da responsabilidade não é apenas que um sistema de compilação foi comprometido; é saber se as descrições de riscos, as declarações de controle e as declarações de remediação estavam ligadas a evidências verificáveis, e não a uma linguagem de confiança. O comprometimento do SolarWinds Orion foi seguido por uma resposta governamental, alertas aos clientes, litígios de valores mobiliários e um arquivamento de rejeição posterior que deixou a qualidade das evidências das declarações de segurança pública como um problema de governança.
Portanto, a questão da responsabilidade pública não é saber se a organização enfrentou um incidente difícil; é saber se as pessoas fora da sala de controle podiam ver evidências suficientes para entender o que mudou, quem controlou essa mudança e quais riscos permaneceram abertos.
Para a SolarWinds North America, Inc., a superfície de controle prática incluía declarações de risco, evidências de segurança internas, alegações da SEC e a postura de rejeição, alertas aos clientes, integridade das compilações, compromissos Secure by Design, relatórios ao conselho de administração e evidências públicas de remediação. Essas palavras referem-se a equipes diferentes e diferentes ônus de prova.
Uma equipe de segurança pode ter logs, uma equipe de produto pode ter evidências de versão ou plataforma, uma equipe jurídica pode controlar a linguagem dos avisos, as finanças podem controlar as estimativas de perdas, e as equipes de contato com o cliente podem controlar as explicações que as pessoas afetadas realmente podem usar. A responsabilidade surge quando esses fragmentos são reunidos em um único registro, em vez de serem deixados como memórias institucionais separadas.
Uma limitação de fonte para esta seção é o guia de recuperação da CISA, 2021-05-13 (https://www.cisa.gov/news-events/news/cisa-releases-eviction-guidance-help-organizations-remove-russian-state-sponsored-threats). Ele é útil para o registro público sobre as declarações de risco de segurança da SolarWinds, o processo da SEC e o registro de responsabilidade na divulgação de evidências, mas não pode responder sozinho a todas as questões de controle interno, portanto, este artigo o trata como uma evidência para a afirmação que ele pode realmente apoiar.
A diferença importante diz respeito às versões afetadas, instalações, alvos selecionados e comprometimentos posteriores. Um leitor não deveria ter que adivinhar se uma frase vem de uma declaração da empresa, de um regulador, de um tribunal, de um cliente, de um pesquisador técnico ou de uma norma setorial. Quando o tipo de fonte é explícito, o artigo pode dizer de forma menos dramática, mas mais precisa: aqui está o que o registro prova, aqui está o que ele sugere e aqui está o que permanece não comprovado.
A mesma disciplina muda a remediação. Se a única reparação prometida é uma garantia ampla, o próximo conselho de administração ou cliente não pode testá-la. Se a reparação está ligada a evidências de fonte, como o Departamento de Justiça dos EUA, 2021-01-06, declaração da agência (https://www.justice.gov/archives/opa/pr/department-justice-statement-solarwinds-update) e CrowdStrike, 2021-01-11, análise técnica (https://www.crowdstrike.com/en-us/blog/sunspot-malware-technical-analysis/), então a organização pode ser questionada sobre datas, escopo, exceções, resultados de testes e dependências restantes. Essa é a diferença entre uma recuperação de reputação e uma recuperação responsável.
As incógnitas residuais definem a próxima revisão
« As incógnitas residuais definem a próxima revisão » é o ponto de partida correto, pois a questão da responsabilidade não é apenas que um sistema de compilação foi comprometido; é saber se as descrições de riscos, as declarações de controle e as declarações de remediação estavam ligadas a evidências verificáveis, e não a uma linguagem de confiança. O comprometimento do SolarWinds Orion foi seguido por uma resposta governamental, alertas aos clientes, litígios de valores mobiliários e um arquivamento de rejeição posterior que deixou a qualidade das evidências das declarações de segurança pública como um problema de governança.
Portanto, a questão da responsabilidade pública não é saber se a organização enfrentou um incidente difícil; é saber se as pessoas fora da sala de controle podiam ver evidências suficientes para entender o que mudou, quem controlou essa mudança e quais riscos permaneceram abertos.
Para a SolarWinds North America, Inc., a superfície de controle prática incluía declarações de risco, evidências de segurança internas, alegações da SEC e a postura de rejeição, alertas aos clientes, integridade das compilações, compromissos Secure by Design, relatórios ao conselho de administração e evidências públicas de remediação. Essas palavras referem-se a equipes diferentes e diferentes ônus de prova.
Uma equipe de segurança pode ter logs, uma equipe de produto pode ter evidências de versão ou plataforma, uma equipe jurídica pode controlar a linguagem dos avisos, as finanças podem controlar as estimativas de perdas, e as equipes de contato com o cliente podem controlar as explicações que as pessoas afetadas realmente podem usar. A responsabilidade surge quando esses fragmentos são reunidos em um único registro, em vez de serem deixados como memórias institucionais separadas.
Uma limitação de fonte para esta seção é a atribuição e aviso conjunto de CISA, NSA, FBI, 2021-04-15 (https://www.cisa.gov/news-events/alerts/2021/04/15/nsa-cisa-fbi-joint-advisory-russian-svr-targeting-us-and-allied). Ele é útil para o registro público sobre as declarações de risco de segurança da SolarWinds, o processo da SEC e o registro de responsabilidade na divulgação de evidências, mas não pode responder sozinho a todas as questões de controle interno, portanto, este artigo o trata como uma evidência para a afirmação que ele pode realmente apoiar.
As afirmações de desenvolvimento seguro devem estar ligadas a artefatos que um observador externo pode testar ou pelo menos auditar. Um leitor não deveria ter que adivinhar se uma frase vem de uma declaração da empresa, de um regulador, de um tribunal, de um cliente, de um pesquisador técnico ou de uma norma setorial. Quando o tipo de fonte é explícito, o artigo pode dizer de forma menos dramática, mas mais precisa: aqui está o que o registro prova, aqui está o que ele sugere e aqui está o que permanece não comprovado.
A mesma disciplina muda a remediação. Se a única reparação prometida é uma garantia ampla, o próximo conselho de administração ou cliente não pode testá-la. Se a reparação está ligada a evidências de fonte, como FBI, 2021-03-18, depoimento ao Senado (https://www.justice.gov/ola/understanding-and-responding-solar-winds-supply-chain-attack-federal-perspective) e SolarWinds, 2021-01-11, atualização da empresa (https://www.solarwinds.com/blog/new-findings-from-our-investigation-of-sunburst), então a organização pode ser questionada sobre datas, escopo, exceções, resultados de testes e dependências restantes. Essa é a diferença entre uma recuperação de reputação e uma recuperação responsável.
O registro responsável é um mapa de evidências
« O registro responsável é um mapa de evidências » é o ponto de partida correto, pois a questão da responsabilidade não é apenas que um sistema de compilação foi comprometido; é saber se as descrições de riscos, as declarações de controle e as declarações de remediação estavam ligadas a evidências verificáveis, e não a uma linguagem de confiança. O comprometimento do SolarWinds Orion foi seguido por uma resposta governamental, alertas aos clientes, litígios de valores mobiliários e um arquivamento de rejeição posterior que deixou a qualidade das evidências das declarações de segurança pública como um problema de governança.
Portanto, a questão da responsabilidade pública não é saber se a organização enfrentou um incidente difícil; é saber se as pessoas fora da sala de controle podiam ver evidências suficientes para entender o que mudou, quem controlou essa mudança e quais riscos permaneceram abertos.
Para a SolarWinds North America, Inc., a superfície de controle prática incluía declarações de risco, evidências de segurança internas, alegações da SEC e a postura de rejeição, alertas aos clientes, integridade das compilações, compromissos Secure by Design, relatórios ao conselho de administração e evidências públicas de remediação. Essas palavras referem-se a equipes diferentes e diferentes ônus de prova.
Uma equipe de segurança pode ter logs, uma equipe de produto pode ter evidências de versão ou plataforma, uma equipe jurídica pode controlar a linguagem dos avisos, as finanças podem controlar as estimativas de perdas, e as equipes de contato com o cliente podem controlar as explicações que as pessoas afetadas realmente podem usar. A responsabilidade surge quando esses fragmentos são reunidos em um único registro, em vez de serem deixados como memórias institucionais separadas.
Uma limitação de fonte para esta seção é o aviso de cibersegurança da NSA, 2020-12-17 (https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2451159/nsa-cybersecurity-advisory-malicious-actors-abuse-authentication-mechanisms-to/). Ele é útil para o registro público sobre as declarações de risco de segurança da SolarWinds, o processo da SEC e o registro de responsabilidade na divulgação de evidências, mas não pode responder sozinho a todas as questões de controle interno, portanto, este artigo o trata como uma evidência para a afirmação que ele pode realmente apoiar.
A divulgação de riscos só é útil quando dá aos leitores evidências suficientes para entender a incerteza. Um leitor não deveria ter que adivinhar se uma frase vem de uma declaração da empresa, de um regulador, de um tribunal, de um cliente, de um pesquisador técnico ou de uma norma setorial. Quando o tipo de fonte é explícito, o artigo pode dizer de forma menos dramática, mas mais precisa: aqui está o que o registro prova, aqui está o que ele sugere e aqui está o que permanece não comprovado.
A mesma disciplina muda a remediação. Se a única reparação prometida é uma garantia ampla, o próximo conselho de administração ou cliente não pode testá-la. Se a reparação está ligada a evidências de fonte, como a Comissão de Inteligência do Senado dos EUA, 2021-02-23, ata de audiência (https://www.intelligence.senate.gov/2021/02/18/hearings-open-hearing-hearing-hack-us-networks-foreign-adversary/) e SolarWinds, 2021-05-07, atualização da empresa (https://www.solarwinds.com/blog/an-investigative-update-of-the-cyberattack), então a organização pode ser questionada sobre datas, escopo, exceções, resultados de testes e dependências restantes. Essa é a diferença entre uma recuperação de reputação e uma recuperação responsável.
Registro de evidências para o leitor
O artigo utiliza as seguintes fontes públicas como registro de leitura para as declarações de risco de segurança da SolarWinds e o registro de evidências em matéria de divulgação. Cada fonte é tratada com limitações: as declarações da empresa provam o que a empresa disse ou relatou, os registros judiciais provam a posição jurídica, os registros regulatórios provam uma ação oficial ou alegação, as publicações técnicas provam os mecanismos observados em seu escopo, e os documentos de normas fornecem referências de controle, e não conclusões retrospectivas.
- Mandiant / FireEye, 2020-12-13, relatório técnico do respondedor a incidentes:https://cloud.google.com/blog/topics/threat-intelligence/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor/
- Mandiant / FireEye, 2020-12-24, análise de malware:https://cloud.google.com/blog/topics/threat-intelligence/sunburst-additional-technical-details/
- CrowdStrike, 2021-01-11, análise técnica:https://www.crowdstrike.com/en-us/blog/sunspot-malware-technical-analysis/
- SolarWinds, 2021-01-11, atualização da empresa:https://www.solarwinds.com/blog/new-findings-from-our-investigation-of-sunburst
- SolarWinds, 2021-05-07, atualização da empresa:https://www.solarwinds.com/blog/an-investigative-update-of-the-cyberattack
- SolarWinds, 2020-12-14, SEC Form 8-K:https://www.sec.gov/Archives/edgar/data/1739942/000162828020017451/swi-20201214.htm
- SolarWinds, 2021-03-01, Form 10-K:https://www.sec.gov/Archives/edgar/data/1739942/000173994221000043/swi-20201231.htm
- CISA, 2020-12-13, alerta governamental:https://www.cisa.gov/news-events/alerts/2020/12/13/active-exploitation-solarwinds-software
- CISA, 2020-12-13 e seguintes, índice de diretivas de emergência:https://www.cisa.gov/news-events/directives
- CISA, 2021-05-13, guia de recuperação:https://www.cisa.gov/news-events/news/cisa-releases-eviction-guidance-help-organizations-remove-russian-state-sponsored-threats
- CISA, NSA, FBI, 2021-04-15, atribuição e aviso:https://www.cisa.gov/news-events/alerts/2021/04/15/nsa-cisa-fbi-joint-advisory-russian-svr-targeting-us-and-allied
- NSA, 2020-12-17, aviso de cibersegurança:https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2451159/nsa-cybersecurity-advisory-malicious-actors-abuse-authentication-mechanisms-to/
- GAO, 2022-01-13, exame federal:https://www.gao.gov/products/gao-22-104746
- GAO, 2021-05-25, depoimento ao Congresso:https://www.gao.gov/products/gao-21-594t
- Departamento de Justiça dos EUA, 2021-01-06, declaração da agência:https://www.justice.gov/archives/opa/pr/department-justice-statement-solarwinds-update
- FBI, 2021-03-18, depoimento ao Senado:https://www.justice.gov/ola/understanding-and-responding-solar-winds-supply-chain-attack-federal-perspective
Este registro de evidências é deliberadamente mais amplo do que um simples aviso de violação, pois as declarações de risco de segurança da SolarWinds, o processo da SEC e o registro de responsabilidade na divulgação de evidências alcançaram mais de um público. O registro público deve apoiar clientes que precisam de ações práticas, gestores que precisam de um plano de reparação, reguladores que precisam de um escopo e leitores que precisam saber quais afirmações permanecem incertas.
Perguntas para o conselho de administração
O registro de revisão deve nomear o proprietário prático de cada decisão, a data em que a decisão foi tomada, as evidências utilizadas e o público que dependia dela. Sem essa estrutura, o mesmo incidente pode ser posteriormente relatado como uma falha técnica, um litígio jurídico, um problema de atendimento ao cliente ou um problema financeiro, sem uma base estável para decidir qual relato está completo.
Um registro de responsabilidade útil também preserva a incerteza. Deve indicar o que é conhecido a partir das declarações da empresa, o que é conhecido a partir de registros governamentais ou judiciais, o que é conhecido a partir de respondedores externos a incidentes e o que permanece inferido. Essa separação protege os leitores de uma falsa precisão e protege a organização de tratar a confiança precoce como evidência.
O controle importante não é uma resposta heroica posterior. É a capacidade de mostrar, enquanto o evento ainda está em andamento, quais evidências mudariam uma decisão. Se um alerta ao cliente, um relatório ao conselho, uma reivindicação de seguro ou uma atualização regulatória seria diferente após uma revisão adicional de registros, essa dependência deve estar visível no registro.
Para este caso específico, uma revisão do conselho deve perguntar quem tinha o controle prático sobre as declarações de risco, as evidências de segurança internas, as declarações públicas de remediação, os alertas aos clientes, os relatórios ao conselho de administração e a prova de que a linguagem de segurança correspondia ao registro real de integridade das versões? A resposta não deve ser uma simples narrativa. Deve incluir evidências datadas, proprietários nomeados, públicos afetados, compromissos com os clientes e uma lista de fatos que a organização ainda não podia provar quando o registro público foi constituído.

