从审计角度看SEC诉太阳风公司及其网络安全责任人
大家都知道网络安全的甲方不好做,尤其是直接责任人。之前 Solarwinds (以下一律称为“太阳风”)公司被黑客成功入侵在产品中植入后门,成为供应链攻击的典型案例,行业内基本上人人皆知。
笔者:国际认证信息系统审计师、软考系统分析师
这件事最近又有了新发展。据报道,2023年10月30日,美国证券交易委员会(SEC)已经对太阳风公司及其前安全和架构副总裁提起了民事诉讼,原因是该公司处理2020年底曝光的供应链攻击的方式[1]。
起诉书称,该公司及其前任信息安全责任人:
“defrauded SolarWinds’ investors and customers through misstatements, omissions, and schemes that concealed both the Company’s poor cybersecurity practices and its heightened – and increasing –cybersecurity risks.”
(通过为掩盖该公司糟糕的网络安全行为以及已经加强且持续增加的网络安全风险的错误陈述、遗漏和密谋,欺骗了太阳风公司的投资者和客户。)
随后,11月9日,太阳风公司给予回应[2]。该公司表示,美国证券交易委员会最近提起的诉讼是:
“is fundamentally flawed—legally and factually—and we plan to defend vigorously against the charges.”
(在法律上和事实上都存在根本缺陷,我们计划对这些指控进行有力辩护。)
太阳风公司坚持认为,该起诉存在问题:
“snippets of documents and conversations out of context to patch together a false narrative about our security posture.”
(断章取义地记录文件和对话的片段,以整理出关于我们安全姿态的虚假叙述。)
此事后续进展如何仍有待观察,国内外都有相关报道[3-4]。
但很显然地,企业的信息安全直接责任人(或称CISO,即首席信息安全官)被政府监管直接问责和起诉,无疑是对该职业的未来带来不确定性。
去年到现在,国内也有不少因为企业组织发生网络安全事件而被政府执法部门追责罚款到责任人个人的案例。
一旦政府执法部门对企业组织进行追责,那么企业组织内部也必然会成体系地进行追责,不可能只是主要责任人、第一责任人全部承担,这是必须注意的。
笔者认为,各位网络安全责任人应该基于该事件,结合国内《网络安全法》、《数据安全法》、《投资者保护法》等网络安全相关的或与此事相关的各种法律法规,加上其他案例,从信息系统审计的角度去研读总结。也就是要用审计的思维模式和方法,把不确定性转化为确定性。
以下是个人从中获得的一些启示和观点:
太阳风事件的首要性质,是一次典型且成功的供应链攻击事件。该事件足以说明供应链攻击所能造成的危害的严重性。
在整个攻击事件过程中,太阳风公司在开始意识到被攻击之前已经向客户交付了带有恶意代码的产品,并且在意识到已经被攻击后花费了相当长的时间才确定和解决了问题。
而且,太阳风公司还是因为构建环节的意外崩溃才找到了被入侵的证据,否则还不知道要再多花多少时间。所以在以上时间段内,其客户被渗透和丢失数据是无疑的。
企业组织无论是何种软硬件产品的用户,都应该注意到供应链攻击已经成为不可忽视的风险因素。用户不可能靠自身能力消解该种风险,只能通过风险转移的方式进行缓解。
具体地,企业组织需要在软硬件产品采购合同中与供应商约定,如因使用供应商提供的软硬件产品遭受到供应链攻击,所产生的安全责任,应由供应商承担。
这种做法是有一定的法律依据的。《网络安全法》明确了网络产品、服务的安全缺陷由提供者采取补救措施:
第二十二条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
因此,企业组织作为甲方时,应在采购合同中以《网络安全法》为依据,与乙方在约定缺陷整改的基础上,由法务部门或律师事务所按供应链攻击可能造成的伤害责任承担情况进行扩充,确定风险转移。
网络安全属于风险管理,和业务经营是完全不同性质的工作。
经营管理强调职责分离,按业务流程拆分开上中下游。但网络安全的专业性和复杂性导致事前事中事后都维系于一身,即使按网络安全风险管理实践框架建立起管理体系和职责分离,也依然还是会被无脑诟病为“自己管自己”。
这次太阳风公司的网络安全责任人被起诉,在业界有一种看法是这是否意味着诸如CISO这样的网络安全责任人是可以独立在企业法人之外,独立于企业经营团队,可以超越其管理关系的上级(比如CEO)而直接面对客户、利益相关者、监管部门以至公众?
从法律责任角度,必须是法定代表人最终背书向客户、投资者和利益相关方所采取的信息公开行动的程度。所以问题的实际其实是网络安全责任人如何准确地确定自己工作内容独立性的程度和责任范围的边界,从而在客观的基础上正确地表述自己的立场和实际情况,以免被认为在掩盖事实导致利益相关方利益受损。
客观的基础需要有客观的评定。通过开展网络安全审计,由审计师基于网络安全风险管理实践框架对企业组织的网络安全管理体系所确定的责任边界给予中立客观的评价和指导意见,落实网络安全责任人工作独立性的具体程度,并经由企业的治理层予以确认。
网络安全事件属于“小概率、必发生”的事件。因此责任人员是否实现了履职尽责(或称“勤勉义务”)是降低职业风险的关键因素。
网络安全责任人要确保自己采取的行动已经从实质上做到了履职尽责,就必须是这些行动完全符合网络安全管理实践框架标准的要求。
尤其是在风险缓解措施上,对风险因素(无论是什么程度)只要是采取了“接受”方式的;以及网络安全工作计划与行动之间的任何偏差,都必须具有足够说服力的证据链。
但是,履职尽责并不可能仅靠自行列举材料去证实。必须借助某些力量作为旁证。比如网络安全的内部审计或外部审计,从审计人员的独立视角对网络安全责任人的行动进行审计,从而确认责任人是否做到了履职尽责。
进一步地考虑,网络安全管理体系中工作细节的执行情况会随着时间和环境而持续发生变更,不仅需要在某个时间点上给出证明,还需要能延伸到在某段时间范围内、以及在可预见的未来都能给出证明。这就是我在之前一篇介绍的网络安全持续审计的作用:
可以展望,网络安全的内、外部审计将会成为对网络安全责任人工作情况的有效支撑。
企业组织的网络安全直接责任人,是企业经营管理团队的其中一员。因此,直接责任人不可能在经营管理层中具有独立地位,不可能具有完全独立的代表了企业组织的行为能力。这也是SEC诉太阳风的起诉文件内容中颇有争议的一点。
更具体地,直接责任人(比如CISO)所拟定的各种网络安全管理计划和措施,即使已经紧扣企业经营目标,但都有可能在实际执行中因为不具备完全独立性而产生偏差。这些偏差或许在后来被修正,或许直接转正为内部要求,但更常见的情况多是被无视和忽略。
面对这样的工作环境,网络安全直接责任人,以及整个网络安全管理体系内的人员,都不可能没有个人意见(怨气)。对所在企业组织吐个槽什么的,实属正常。但就是在本案例中,这些留存在工作通信方式内的个人吐槽成为了责任人的“职责上明知而不为”的证据。
如果把网络安全工作中所有的个人通信内容都会被纳入作为是否履职尽责的证据范围,如此的扩大化会导致该项工作是无从执行的,任何不完整的负面研读判断的言论都有可能被作为负面证据。
为避免发生这种自己坑自己的情况,除了自觉区分个人通信和职务通信渠道外,还应该通过内外部审计对工作记录内容进行确认。明确区分什么是职责见解应记录在案,什么是个人意见应予以排除。
如前所述,个人意见多数来自于工作计划和实际执行情况的偏差,这些偏差可能影响轻微,也可能影响深远。任何工作偏差都不能任由其持续开放,需要按确定的程序予以关闭,而审计(包括法务)就是关闭工作偏差的最佳助力。该过程主要如下:
1、对于工作中产生的各种偏差,应该形成文档记录,结合实际采取了行动或不予行动的对策,形成完整的审计材料。
2、通过开展网络安全内外审,确认偏差情况和文档记录的一致性,对偏差情况给出审计结论和整改指导意见。
3、企业的法务团队需要事前介入,并对最终归档、发布的任何文件进行合规审查。
4、由企业组织的更高层管理者对经审计确认和经法务审查的审计材料、审计结论和拟采取的进一步措施进行签字确认。
5、实施经过确认的进一步措施,完成对偏差情况的关闭过程,最终由企业组织的治理层、经营管理层、执行层等各层次对未能提出必要、适当和有效的安全措施负责,对未能记录任何此类建议的拒绝理由负责。
本案例中,SEC起诉的基本理由是存在隐瞒和欺诈。在商业角度,信息公开透明是必须的,作为乙方,需要尊重、信任和支持自己的客户。同时,诚实、透明和完整的沟通也必须是处置网络安全事件的原则。
关键是,网络安全与信息化是为企业组织的发展服务的。谋求发展不能仅考虑乙方自身利益,还需要从客户、利益相关方的角度给予考虑。尤其是网络安全方面的外部意见,需要由类似CISO这样的角色在乙方内部传递。在这个角度上,CISO一定程度上需要代表客户和利益相关方。
但是,当疑似存在攻击情况时,如何公开透明,达到什么程度需要斟酌研究。公开的信息太多,对执法会造成影响,也可能引来更多的恶意行为。而如果公开得太少,就会重蹈本次案例的覆辙。
而且,信息公开透明可能会造成乙方自身的商誉受损,这必须由企业组织的治理层给予关注和判断,确定方向。
网络安全的每一次案例分析,需要真正的举一反三而不是空喊口号。
相关责任人应从审计思维出发,以始终认定纸包不住火的态度,研读国内外与之类似的司法诉讼文件,参照对比自身所在企业组织是否存在类似的情况,倒推检查自有的网络安全事件应对策略、计划和具体措施等内部要求,以确保不会走上与这些案例相同的道路。
参考资料:
[1] www.sec.gov: Complaint | Securities and Exchange Commission v. SolarWinds Corp. and Timothy G. Brown (PDF)
https://www.sec.gov/litigation/litreleases/lr-25887
https://www.sec.gov/files/litigation/complaints/2023/comp-pr2023-227.pdf
[2] orangematter.solarwinds.com: Setting the Record Straight on the SEC and SUNBURST
https://orangematter.solarwinds.com/2023/11/08/setting-the-record-straight-on-the-sec-and-sunburst/
[3] 美政府起诉企业首席安全官未尽职,震惊安全高管群体
https://www.secrss.com/articles/60251
[4] arstechnica.com: SEC sues SolarWinds and CISO, says they ignored flaws that led to major hack
本页网址二维码: