Поскольку ущерб от атаки вируса-вымогателя на поставщика автомобильного программного обеспечения CDK Global стал очевиден в последние недели, многие автодилеры были вынуждены уведомить Комиссию по ценным бумагам и биржам о том, что нарушение нанесло ущерб их деятельности.
Материнская компания CDK, Brookfield Business Partners, которая, по всей видимости, выплатила злоумышленникам выкуп в размере почти 25 миллионов долларов , не разделяет эту точку зрения. В пресс-релизе от 3 июля компания заявила: «Мы не ожидаем, что этот инцидент окажет существенное влияние на Brookfield Business Partners».
Несмотря на то, что атака оказала негативное влияние на автомобильную промышленность США, CDK и ее материнская компания не подали заявление в Комиссию по ценным бумагам и биржам (SEC) в соответствии с ее новыми правилами по сообщению о нарушениях.
Юристы и эксперты по кибербезопасности, с которыми поговорил CyberScoop, обнаружили, что разногласия между подходом пострадавшей компании к раскрытию информации и подходом её косвенных жертв находятся где-то между неизбежным и абсурдным. Различия в подходах объясняются неоднозначностью правил Комиссии по ценным бумагам и биржам (SEC), вступивших в силу в конце прошлого года и определяющих, когда публичные компании должны сообщать регулятору о киберинцидентах.
Речь идет об определении того, что считается «существенным», порогового значения, ниже которого компании обязаны сообщать комиссии об атаке — термин, который основывается на оценке фирмой того, захочет ли «разумный инвестор» знать об этом, прежде чем принять решение об инвестировании в компанию.
«Я, безусловно, поддерживаю аргумент о том, что то, что является существенным для одного субъекта, не является существенным для другого», — заявил Боб Коласки, бывший высокопоставленный сотрудник Агентства по кибербезопасности и безопасности инфраструктуры, а ныне приглашенный научный сотрудник программы по технологиям и международным отношениям в Фонде Карнеги за международный мир.
С другой стороны, «исходя из моего понимания атаки программы-вымогателя на CDK, да, я считаю, что разумный инвестор хотел бы знать об этом, учитывая характер внимания, которое она привлекла, и то, какие последствия это принесёт», — сказал Коласки, который также является старшим вице-президентом по критически важной инфраструктуре в Exiger, компании по управлению рисками в цепочках поставок. «Это создаёт огромную неопределённость относительно того, какое пристальное внимание последует за этим».
Аллан Лиска, аналитик по угрозам в Recorded Future, сказал, что, по его мнению, оценка Brookfield Business Partners о том, что взлом CDK Global не окажет существенного воздействия, является «полной ерундой», добавив, что «оно должно быть [существенным], учитывая масштаб и уровень разрушений, которые оно вызвало».
Но если бизнес занимает достаточно доминирующее положение, отметил Лиска, компании могут легко справиться с финансовыми потерями даже от серьёзной утечки. «Возможно, это не повлияет на их прибыль, и отчасти это связано с тем, что, насколько я могу судить, CDK занимает довольно большую долю рынка, и альтернатив у неё не так много», — сказал он.
Компания Brookfield Business Partners не ответила на вопросы о том, как она определила существенность утечки данных CDK Global. Атака, затронувшая программное обеспечение почти 15 000 автосалонов, на несколько недель парализовала продажи в автомобильной промышленности США.
Некоторые из затронутых автосалонов прокомментировали перебои в подаче документов в Комиссию по ценным бумагам и биржам (SEC), но включили оговорки относительно существенности. «Хотя этот инцидент оказал и, вероятно, продолжит оказывать негативное влияние на бизнес-операции компании до полного восстановления соответствующих систем, компания ещё не определила, может ли инцидент существенно повлиять на её финансовое положение или результаты деятельности», — написала Lithia Motors .
Компания AutoNation, одна из крупнейших сетей автосалонов в стране, базирующаяся в Форт-Лодердейле, штат Флорида, в понедельник в заявлении, поданном в Комиссию по ценным бумагам и биржам (SEC), заявила , что в результате атаки прибыль компании во втором квартале снизилась примерно на 1,50 доллара на акцию. Несмотря на убытки, компания заявила, что не ожидает существенного влияния инцидента на её общее финансовое положение или текущие результаты.
Не будучи посвященной во все подробности атаки CDK, Элизабет Уортон, работавшая юристом в администрации города Атланта, а ныне основательница Silver Key Strategies, заявила, что после взломов цены на акции компаний часто восстанавливаются . И некоторые клиенты CDK Global могут решить, что даже в условиях последствий кибератаки переход к конкурентам не стоит затраченных усилий, что может минимизировать влияние на ожидаемую прибыль компании.
«Не каждый автосалон, компания, предоставляющая автокредиты, или поставщик услуг может просто так взять и перейти на нового поставщика», — сказала она. «Если бы вы когда-нибудь попробовали перейти с SalesForce на HubSpot, мне кажется, любой руководитель отдела продаж и маркетинга просто расплакался бы. Это непросто, и нужно потратить пару месяцев, чтобы привыкнуть к новой системе».
В рекомендациях Комиссии по ценным бумагам и биржам США (SEC) указано, что размер выплаты за киберинцидент не является единственным определяющим фактором существенности киберинцидента. В рекомендациях также даны дополнительные ответы на вопросы об условиях, при которых атака с использованием программ-вымогателей достигает порога существенности.
Брайан Финч, юрист и партнёр Pillsbury Public Policy, отметил, что самым первым критерием определения существенности является то, должна ли компания сообщать о киберинцидентах, и является ли она публичной или частной компанией. (Brookfield является клиентом Pillsbury, поэтому её юристы не стали напрямую комментировать утечку или замешанные в ней компании.)
CDK является частной компанией и, следовательно, не подпадает под действие правил SEC, в отличие от ее публично торгующейся материнской компании Brookfield.
По данным годового отчета , в прошлом году компания Brookfield Business Partners управляла активами на сумму около 16 миллиардов долларов, а корпорация Brookfield Corporation, частью которой является Brookfield Business Partners, сообщила о выручке почти в 96 миллиардов долларов за 2023 год, говорится в ее годовом отчете .
По словам Финча, для предприятий такого размера 25 миллионов долларов — заявленная сумма выкупа CDK — представляют собой каплю в море по сравнению с их чистой прибылью.
Конечно, если Комиссия по ценным бумагам и биржам США (SEC) решит, что компания должна была раскрыть что-то как существенное, «расследование со стороны SEC — это действительно серьёзное событие, и это серьёзное событие по целому ряду причин, включая их свирепых следователей», — сказал Финч. «У них огромная власть, у них огромный опыт, и они могут наложить действительно значительные штрафы».
«В результате, похоже, компании склонны раскрывать излишнюю информацию», — говорит Дэвид Оливайнштейн, также партнер Pillsbury, ранее работавший в отделе по обеспечению соблюдения законодательства SEC.
Однако, по словам экспертов, поскольку правила настолько новы, могут потребоваться действия Комиссии по ценным бумагам и биржам (SEC) и судебная практика для установления точных границ того, как существенность применяется к пороговому значению сообщения об инциденте в киберпространстве.
По словам Лиски, сейчас такие ситуации, как взлом CDK Global, вызывают разногласия другого рода.
«Мое первое толкование и, как я думаю, первое впечатление многих специалистов по кибербезопасности о рекомендациях SEC очень сильно отличаются от того, как их интерпретируют юристы этих компаний», — сказал он.
Материнская компания CDK, Brookfield Business Partners, которая, по всей видимости, выплатила злоумышленникам выкуп в размере почти 25 миллионов долларов , не разделяет эту точку зрения. В пресс-релизе от 3 июля компания заявила: «Мы не ожидаем, что этот инцидент окажет существенное влияние на Brookfield Business Partners».
Несмотря на то, что атака оказала негативное влияние на автомобильную промышленность США, CDK и ее материнская компания не подали заявление в Комиссию по ценным бумагам и биржам (SEC) в соответствии с ее новыми правилами по сообщению о нарушениях.
Юристы и эксперты по кибербезопасности, с которыми поговорил CyberScoop, обнаружили, что разногласия между подходом пострадавшей компании к раскрытию информации и подходом её косвенных жертв находятся где-то между неизбежным и абсурдным. Различия в подходах объясняются неоднозначностью правил Комиссии по ценным бумагам и биржам (SEC), вступивших в силу в конце прошлого года и определяющих, когда публичные компании должны сообщать регулятору о киберинцидентах.
Речь идет об определении того, что считается «существенным», порогового значения, ниже которого компании обязаны сообщать комиссии об атаке — термин, который основывается на оценке фирмой того, захочет ли «разумный инвестор» знать об этом, прежде чем принять решение об инвестировании в компанию.
«Я, безусловно, поддерживаю аргумент о том, что то, что является существенным для одного субъекта, не является существенным для другого», — заявил Боб Коласки, бывший высокопоставленный сотрудник Агентства по кибербезопасности и безопасности инфраструктуры, а ныне приглашенный научный сотрудник программы по технологиям и международным отношениям в Фонде Карнеги за международный мир.
С другой стороны, «исходя из моего понимания атаки программы-вымогателя на CDK, да, я считаю, что разумный инвестор хотел бы знать об этом, учитывая характер внимания, которое она привлекла, и то, какие последствия это принесёт», — сказал Коласки, который также является старшим вице-президентом по критически важной инфраструктуре в Exiger, компании по управлению рисками в цепочках поставок. «Это создаёт огромную неопределённость относительно того, какое пристальное внимание последует за этим».
Аллан Лиска, аналитик по угрозам в Recorded Future, сказал, что, по его мнению, оценка Brookfield Business Partners о том, что взлом CDK Global не окажет существенного воздействия, является «полной ерундой», добавив, что «оно должно быть [существенным], учитывая масштаб и уровень разрушений, которые оно вызвало».
Но если бизнес занимает достаточно доминирующее положение, отметил Лиска, компании могут легко справиться с финансовыми потерями даже от серьёзной утечки. «Возможно, это не повлияет на их прибыль, и отчасти это связано с тем, что, насколько я могу судить, CDK занимает довольно большую долю рынка, и альтернатив у неё не так много», — сказал он.
Компания Brookfield Business Partners не ответила на вопросы о том, как она определила существенность утечки данных CDK Global. Атака, затронувшая программное обеспечение почти 15 000 автосалонов, на несколько недель парализовала продажи в автомобильной промышленности США.
Некоторые из затронутых автосалонов прокомментировали перебои в подаче документов в Комиссию по ценным бумагам и биржам (SEC), но включили оговорки относительно существенности. «Хотя этот инцидент оказал и, вероятно, продолжит оказывать негативное влияние на бизнес-операции компании до полного восстановления соответствующих систем, компания ещё не определила, может ли инцидент существенно повлиять на её финансовое положение или результаты деятельности», — написала Lithia Motors .
Компания AutoNation, одна из крупнейших сетей автосалонов в стране, базирующаяся в Форт-Лодердейле, штат Флорида, в понедельник в заявлении, поданном в Комиссию по ценным бумагам и биржам (SEC), заявила , что в результате атаки прибыль компании во втором квартале снизилась примерно на 1,50 доллара на акцию. Несмотря на убытки, компания заявила, что не ожидает существенного влияния инцидента на её общее финансовое положение или текущие результаты.
Не будучи посвященной во все подробности атаки CDK, Элизабет Уортон, работавшая юристом в администрации города Атланта, а ныне основательница Silver Key Strategies, заявила, что после взломов цены на акции компаний часто восстанавливаются . И некоторые клиенты CDK Global могут решить, что даже в условиях последствий кибератаки переход к конкурентам не стоит затраченных усилий, что может минимизировать влияние на ожидаемую прибыль компании.
«Не каждый автосалон, компания, предоставляющая автокредиты, или поставщик услуг может просто так взять и перейти на нового поставщика», — сказала она. «Если бы вы когда-нибудь попробовали перейти с SalesForce на HubSpot, мне кажется, любой руководитель отдела продаж и маркетинга просто расплакался бы. Это непросто, и нужно потратить пару месяцев, чтобы привыкнуть к новой системе».
В рекомендациях Комиссии по ценным бумагам и биржам США (SEC) указано, что размер выплаты за киберинцидент не является единственным определяющим фактором существенности киберинцидента. В рекомендациях также даны дополнительные ответы на вопросы об условиях, при которых атака с использованием программ-вымогателей достигает порога существенности.
Брайан Финч, юрист и партнёр Pillsbury Public Policy, отметил, что самым первым критерием определения существенности является то, должна ли компания сообщать о киберинцидентах, и является ли она публичной или частной компанией. (Brookfield является клиентом Pillsbury, поэтому её юристы не стали напрямую комментировать утечку или замешанные в ней компании.)
CDK является частной компанией и, следовательно, не подпадает под действие правил SEC, в отличие от ее публично торгующейся материнской компании Brookfield.
По данным годового отчета , в прошлом году компания Brookfield Business Partners управляла активами на сумму около 16 миллиардов долларов, а корпорация Brookfield Corporation, частью которой является Brookfield Business Partners, сообщила о выручке почти в 96 миллиардов долларов за 2023 год, говорится в ее годовом отчете .
По словам Финча, для предприятий такого размера 25 миллионов долларов — заявленная сумма выкупа CDK — представляют собой каплю в море по сравнению с их чистой прибылью.
Конечно, если Комиссия по ценным бумагам и биржам США (SEC) решит, что компания должна была раскрыть что-то как существенное, «расследование со стороны SEC — это действительно серьёзное событие, и это серьёзное событие по целому ряду причин, включая их свирепых следователей», — сказал Финч. «У них огромная власть, у них огромный опыт, и они могут наложить действительно значительные штрафы».
«В результате, похоже, компании склонны раскрывать излишнюю информацию», — говорит Дэвид Оливайнштейн, также партнер Pillsbury, ранее работавший в отделе по обеспечению соблюдения законодательства SEC.
Однако, по словам экспертов, поскольку правила настолько новы, могут потребоваться действия Комиссии по ценным бумагам и биржам (SEC) и судебная практика для установления точных границ того, как существенность применяется к пороговому значению сообщения об инциденте в киберпространстве.
По словам Лиски, сейчас такие ситуации, как взлом CDK Global, вызывают разногласия другого рода.
«Мое первое толкование и, как я думаю, первое впечатление многих специалистов по кибербезопасности о рекомендациях SEC очень сильно отличаются от того, как их интерпретируют юристы этих компаний», — сказал он.
