شركة Apparel Giant VF Corp. تكشف عن هجوم إلكتروني بموجب قواعد هيئة الأوراق المالية والبورصة الجديدة
أصبحت شركة VF Corp، الشركة الأم لشركة Vans وThe North Face والعديد من العلامات التجارية الشهيرة الأخرى للملابس، واحدة من أولى الشركات البارزة التي كشفت عن هجوم إلكتروني بموجب قواعد الأوراق المالية والبورصات الأمريكية الجديدة (SEC) التي تم تطبيقها الأسبوع الماضي، وفقًا لقواعد الأوراق المالية والبورصات الأمريكية (SEC) الجديدة. إلى الايداع.
في وقت سابق من هذا العام، المجلس الأعلى للتعليم اعتمدت قواعد جديدة بشأن إفصاحات الأمن السيبراني للشركات العامة. تلك القواعد، التي تتطلب من الشركات الكشف عن حوادث الأمن السيبراني في غضون أربعة أيام عمل من تحديد الأهمية النسبية، دخلت حيز التنفيذ في 15 كانون الأول (ديسمبر). تعرضت شركة VF Corp لهجوم إلكتروني كشفت عنه بموجب القواعد الجديدة. قدمت طلبا 8-ك في 15 ديسمبر.
كيف تبدو حادثة الأمن السيبراني المادية في شركة VF Corp، وكيف سيبدو استمرار تقديم التقارير بموجب قواعد الإفصاح الخاصة بهيئة الأوراق المالية والبورصة بالنسبة للشركات العامة؟
الهجوم الإلكتروني على شركة VF.
اكتشفت شركة VF Corp حادث الأمن السيبراني في 13 ديسمبر، وفقًا لموقع 8-K. تشير الشركة إلى أن الجهات الفاعلة في مجال التهديد قامت بتشفير بعض أنظمة تكنولوجيا المعلومات الخاصة بها وسرقت البيانات. وتشير إلى أنها تعمل من خلال الاستجابة للحوادث وتحاول تنفيذ الحلول البديلة، لكن الهجوم الإلكتروني يؤثر على قدرتها على تنفيذ الأوامر.
“بالنسبة لأيام العمل الأربعة التي قضاها، كانت هناك تفاصيل أكثر قليلاً مما رأيته من 8-Ks الأخرى التي رأيناها مقدمة قبل تطبيق المتطلبات،” سمر فاولر، كبير مسؤولي أمن المعلومات في شركة تورك الروبوتات، شركة مركبات ذاتية القيادة، وأعضاء هيئة التدريس في أبحاث إيانس، وهي منظمة غير ربحية للرؤى الأمنية، تقول InformationWeek.
الاضطراب التشغيلي
في كثير من الحالات، يتكشف الفهم الكامل لتأثير الهجوم السيبراني بمرور الوقت. VF. شركة لديها 12 علامة تجارية. مهران فريماني، الرئيس التنفيذي لشركة إدارة الثغرات الأمنية رابيدفورتيشير إلى أن الشركة نمت من خلال عدد من عمليات الاستحواذ. ويقول: “من المحتمل أن يكون لديهم الكثير من الأنظمة المتباينة”. “من الصعب جدًا فهم ماهية الهجوم، وما هو نطاق الانفجار، وما سببه، وما هي وسائل التخفيف.”
يعتمد مدى التخريب الذي يمكن أن يحدثه الهجوم السيبراني على العديد من العوامل. كيف تمكن ممثل التهديد من الوصول؟ كم من الوقت ذهبوا دون أن يتم اكتشافهم؟ ما هي الأنظمة التي تم اختراقها؟ كيف يبدو استخراج البيانات وتشفيرها؟ كم من الوقت سيستغرق العمل من خلال خطة الاستجابة للحوادث؟ هل هناك طلب فدية؟
قد لا يؤثر الهجوم السيبراني على أنظمة متعددة، ولكن الاستجابة قد تؤدي إلى مزيد من التعطيل التشغيلي. “تريد إحدى الشركات احتواء نصف قطر الانفجار أولاً. يقول فاولر: “من أجل القيام بذلك، أحيانًا يكون أفضل ما يمكنك فعله هو إيقاف الأمور”.
تم توضيح العواقب الواسعة النطاق والمكلفة التي يمكن أن تترتب على حادث الأمن السيبراني في وقت سابق من هذا العام في برنامج الفدية الهجمات على منتجعات MGM وCaesars Entertainment. في فنادق وكازينوهات MGM، المفاتيح الرقمية للغرف وماكينات القمار لا تعمل. دفع قيصر فدية 15 مليون دولار، بينما رفضت MGM الدفع.
تكشفت تداعيات الهجوم الإلكتروني على شركة كلوروكس في وقت سابق من هذا العام في سلسلة من التحديثات. في 14 أغسطس، قدمت شركة منتجات التنظيف دعوى قضائية 8-ك تفاصيل موجزة عن “النشاط غير المصرح به في بعض أنظمة تكنولوجيا المعلومات (IT) الخاصة بها.” في 18 سبتمبر، قدمت 8 ك أخرى الإبلاغ عن الصعوبات المتعلقة بمعالجة الطلب وتوافر المنتج. وقدمت التحديث التشغيلي في 4 أكتوبر 8-ك، حيث شاركت في استعادة أنظمتها وعملياتها.
“هم [Clorox] قدموا عدة 8-Ks بمزيد من التفاصيل عندما تعلموا المزيد. يقول فاولر: “هذا شيء أعتقد أننا سنراه عندما تفهم المنظمات التأثير الكامل”.
لاحظت الشركة التأثير الكبير الذي أحدثه الهجوم الإلكتروني عليها نتائج الربع الأول من العام المالي 2024. وانخفض صافي المبيعات بنسبة 20%، وهو ما يمثل أ انخفاض 356 مليون دولار.
تأثير قواعد هيئة الأوراق المالية والبورصات
تهدف قاعدة الإفصاح الخاصة بهيئة الأوراق المالية والبورصات إلى تزويد المستثمرين والمساهمين بالمعلومات ذات الصلة. يقول آدم: “في هذه الحالة، إذا كان شخص ما يفكر في الاستثمار في شركة VF Corp، فسيعلم أنه تعرض للتو لهجوم إلكتروني في ذروة موسم العطلات، وقد يؤثر ذلك على رغبة شخص ما في الاستثمار في شركة”. ماري، رئيس قسم تكنولوجيا المعلومات في شركة الأمن السيبراني ذئب القطب الشمالي.
هذه المعلومات التي تم الكشف عنها لها قيمة بالنسبة للجمهور، ولكنها تضيف طبقة من التعقيد إلى الاستجابة للحوادث. “هم الآن [response teams] عليك أيضًا أن تقلق بشأن جعل شخص ما يقرر ما إذا كان الأمر جوهريًا في أسرع وقت ممكن، واكتب هذا التقرير، واطلب مراجعة هذا التقرير من قبل الشؤون القانونية والجميع. يقول ماري: “ثم أخرج ذلك”. “هذا مسار عمل آخر تمامًا الآن يجب أن يحدث في بداية اللحظة.”
ويتوقع فاولر أنه ستكون هناك فترة تعديل الآن بعد أن تم وضع قاعدة الإفصاح رسميًا. تشرح قائلة: “قد ترى مبالغة في التقارير أو تقارير محددة للغاية، أو بطريقة أخرى، حيث ترى هيئة الأوراق المالية والبورصة أنها لا تزال عامة للغاية وافتراضية، ومن ثم سيتعين عليها أن تتساوى مع مرور الوقت”.
ويبقى أيضًا أن نرى كيف سيكون رد فعل الأسواق على هذه الإفصاحات بمرور الوقت. هل سيتأثر سعر سهم الشركة في كل مرة تقوم فيها بمشاركة تحديث بعد حادث الأمن السيبراني؟ يقول ماري: “أتساءل عما إذا كنا بعد مرور بعض الوقت، بعد أن اعتدنا على ذلك، سنبني بعض الأدوات الثقافية للتعامل مع هذا الأمر”. “وبعبارة أخرى، سوف يحجب الناس حكمهم على أحد هذه الأحداث حتى يتم ظهور المزيد من المعلومات.”
ورغم أن الوقت سوف ينبئنا كيف قد تبدو فترة التعديل، فمن الواضح أنه لا يمكن تجاهل قواعد هيئة الأوراق المالية والبورصة. تحتاج المنظمات إلى عمليات حول تحديد الأهمية النسبية وإعداد التقارير. يقول فاولر: “بهذه الطريقة، عندما يكون هناك تدقيق من قبل هيئة الأوراق المالية والبورصة أو أي منظمة خارجية… يمكن للمنظمة تبرير القرارات التي تم اتخاذها وإظهار الوثائق لإثبات كيفية التوصل إلى تلك الاستنتاجات”.
القواعد الجديدة للجنة الأوراق المالية والبورصة لا تتعلق فقط بالإفصاح عن حوادث الأمن السيبراني. يُطلب من الشركات العامة أيضًا الكشف عن المعلومات المتعلقة بإدارة مخاطر الأمن السيبراني في 10-Ks الخاصة بها.
“أعتقد أن مسؤولي أمن المعلومات… وأولئك المسؤولين عن 10-K يحتاجون حقًا إلى التأكد من أنهم ينظرون إلى ما يضعونه في تلك المستندات على النحو الذي [to] يقول فاولر: “كيف يتم التعامل مع عمليات إدارة المخاطر السيبرانية في الشركة”.
أشارت هيئة الأوراق المالية والبورصات إلى استعدادها للتدقيق في الطريقة التي تتعامل بها الشركات مع مخاطر وحوادث الأمن السيبراني. ال تقوم هيئة الأوراق المالية والبورصة (SEC) بشحن SolarWinds و CISO الخاص بها مع الاحتيال وفشل الرقابة الداخلية. وتزعم أن الشركة “ضللت المستثمرين من خلال الكشف فقط عن المخاطر العامة والافتراضية”.
ومن المحتمل أن يؤدي المزيد من التدقيق التنظيمي على ممارسات الأمن السيبراني إلى تعريض الشركات لمزيد من المسؤولية. يقول فريماني: “لقد بذلت هيئة الأوراق المالية والبورصات جهودها في هذه القضية الآن، وأعتقد أن هذا سيجذب المزيد من الاهتمام إلى الوظيفة الأمنية داخل المؤسسات”.
