Rimani informato con aggiornamenti gratuiti
Il primo capo informatico a contrastare il tentativo della Securities and Exchange Commission degli Stati Uniti di ritenerlo personalmente responsabile di un massiccio attacco informatico russo ha invitato le autorità di regolamentazione globali ad approvare leggi più severe sulla sicurezza informatica.
Tim Brown, responsabile della sicurezza informatica di SolarWinds, ha affrontato una causa legale che ha accusato lui e la società di fuorviare gli investitori non rivelando “rischi noti” e rappresentando in modo impreciso le misure di sicurezza della società.
Parlando al MagicTech nella sua prima intervista da quando la denuncia è stata in gran parte respinta da un tribunale federale a luglio, Brown ha avvertito che le normative informatiche globali sono ancora “in continuo cambiamento”, il che “aggiunge assolutamente stress in tutto il mondo” ai capi informatici.
“Quando non ci sono regole da seguire, è molto difficile seguirle”, ha detto Brown. “Pochissimi addetti alla sicurezza farebbero qualcosa che non è giusto, ma basta dirci cosa è giusto per poterlo fare”, ha aggiunto.
SolarWinds era una società di supply chain IT poco conosciuta con sede ad Austin fino a quando non è stata violata da hacker russi come parte di una vasta campagna di spionaggio nel 2020.
L'azione legale della SEC è arrivata nel contesto di una spinta da parte dell'ente per affrontare in modo più aggressivo i rischi informatici sotto il mandato del presidente Gary Gensler, nonché di forti segnali da parte sua e di altre autorità secondo cui gli individui potrebbero essere ritenuti responsabili degli attacchi hacker.
L'anno scorso, l'ex capo della sicurezza di Uber, Joe Sullivan, è stato condannato dalle autorità statunitensi a tre anni di libertà vigilata e a una multa di 50.000 dollari per aver coperto una violazione di dati del 2016. Si è trattato del primo procedimento penale contro un dirigente di un'azienda per il trattamento di un dato violazione.
Lo scorso anno la SEC ha introdotto nuove regole informatiche sulla divulgazione delle violazioni dei dati, oltre a costringere le aziende pubbliche a delineare gli elementi dei loro processi, strategie e governance di gestione del rischio informatico nei loro rapporti annuali.
Brown ha affermato di sperare che le normative informatiche globali stiano andando nella giusta direzione. Ha affermato che i professionisti della sicurezza trarrebbero vantaggio da un equivalente informatico del Sarbanes-Oxley Act, approvato nel 2002 dopo lo scandalo Enron.
“Bisogna ricordare che i problemi informatici risalgono a 20-30 anni fa. Altre questioni normative risalgono a centinaia di anni fa. . . Quindi stiamo semplicemente recuperando terreno sulla maturità di quel modello”, ha aggiunto.
La causa, che citava le comunicazioni interne tra Brown e altri dipendenti di SolarWinds, è stata vista come uno spartiacque per il settore. Gli avvocati che rappresentano i professionisti della sicurezza hanno avvertito che è rischioso “agghiacciante” sforzi interni dei professionisti informatici per migliorare la sicurezza aziendale per paura che i loro commenti possano successivamente essere decontestualizzati e utilizzati contro di loro.
A luglio il giudice distrettuale Paul Engelmayer ha stabilito che il tentativo della SEC di applicare norme contabili ai processi di sicurezza informatica era “non sostenibile”. Ha respinto la maggior parte delle accuse contro SolarWinds e Brown, ma ha accolto un'accusa di frode sui titoli sulla base di una dichiarazione pubblicata da SolarWinds sul suo sito web aziendale.
Un portavoce di SolarWinds ha detto in una dichiarazione che la società intende combattere l'accusa rimanente, che secondo loro è “di fatto inaccurata”. La SEC ha rifiutato di commentare.
Brown ha affermato che la causa, sebbene personalmente scomoda, ha contribuito a dare voce ai professionisti della sicurezza aziendale a livello esecutivo.
“Esercita pressione, ma è anche un punto di svolta”, ha detto. “Ha elevato il [chief information security officer] posizione e si è assicurato che i consigli di amministrazione avessero queste conversazioni.
Brown questo mese è entrato a far parte del comitato consultivo della società israeliana di gestione delle crisi Cytactic, ma ha affermato di essere ancora impegnato a rimanere nel suo ruolo presso SolarWinds.
“Per quanto riguarda l’incidente alla SolarWinds: è successo sotto il mio controllo. Alla fine ero io il responsabile? Beh, no, ma è successo sotto il mio controllo e voglio che le cose vadano bene”, ha detto.
La società ha registrato entrate per 193 milioni di dollari nei tre mesi fino a giugno, in calo rispetto ai 246 milioni di dollari dello stesso periodo del 2020, prima che l’hacking fosse reso pubblico. Le azioni hanno iniziato a riprendersi dai minimi del 2022, ma sono ancora in calo di oltre il 40% dal cosiddetto incidente Sunburst.