Menkul Kıymetler ve Borsa Komisyonu (SEC) Salı günü yaptığı açıklamada, 2019 SolarWinds veri ihlaliyle bağlantılı yanıltıcı açıklamalar yaptıkları için dört şirkete suç duyurusunda bulunduğunu ve cezalar verdiğini duyurdu.
Suçlanan dört şirket, 995.000 ABD doları tutarında hukuki ceza ödeyecek olan siber güvenlik şirketi Check Point; 990.000$ ödeyecek olan Mimecast; ve 4 milyon dolar ödeyecek teknoloji şirketleri Unisys ve 1 milyon dolar ödeyecek Avaya.
Bu şirketlerin tümü, SolarWinds yazılımını kullanan diğer birkaç şirketi ve devlet kurumunu da etkileyen SolarWinds’in uğradığı saldırının kurbanı oldu. SEC’e göre her şirket, ihlallerin zararını “ihmalkar bir şekilde” küçümseyen ve en aza indiren farklı ihlaller gerçekleştirdi.
SEC Direktör Vekili Sanjay Wadhwa, “Halka açık şirketler siber saldırıların hedefi haline gelse de, karşılaştıkları siber güvenlik olayları hakkında yanıltıcı açıklamalar yaparak hissedarlarını veya yatırım yapan toplumun diğer üyelerini daha fazla mağdur etmemeleri gerekiyor” dedi. İcra Dairesi. “Burada SEC’in emirleri, bu şirketlerin söz konusu olaylarla ilgili yanıltıcı açıklamalar yaptığını ve yatırımcıların olayların gerçek kapsamı konusunda karanlıkta kaldığını ortaya koyuyor.”
SEC’e göre her şirket farklı ihlaller gerçekleştirdi. Avaya, bilgisayar korsanlarının şirketin “sınırlı sayıda” e-postasına eriştiğini söyledi ancak bilgisayar korsanlarının “bulut dosya paylaşım ortamındaki en az 145 dosyaya” da eriştiklerini söylemedi. Check Point, ihlali bilmesine rağmen “siber saldırıları ve riskleri” genel terimlerle tanımladı. Mimecast, bilgisayar korsanlarının hangi kodu ve şirket tarafından şifrelenen kimlik bilgilerinin miktarını “açıklamayarak saldırıyı en aza indirdi”. Ve Unisys, SolarWinds ile ilgili iki ihlale maruz kalmasına rağmen “siber güvenlik olaylarından kaynaklanan riskleri varsayımsal olarak tanımladı”.
SEC, tüm şirketlerin soruşturmayla işbirliği yaptığını ve cezaları ödemeyi ve “isnat edilen hükümlerin gelecekteki ihlallerini durdurmayı ve bu ihlallerden vazgeçmeyi” kabul ettiklerini, aynı zamanda SEC bulgularını “kabul etmediklerini veya reddetmediklerini” söyledi.
Avaya sözcüsü Julianne Embry, TechCrunch’a SEC’in “Avaya’nın gönüllü işbirliğini takdir ettiğini ve şirketin siber güvenlik kontrollerini geliştirmek için belirli adımlar attığımızı” söyledi.
Check Point sözcüsü Gil Messing, TechCrunch’a şunları söyledi: “Check Point, SolarWinds olayını araştırdı ve herhangi bir müşteri verisine, koduna veya diğer hassas bilgilere erişildiğine dair kanıt bulamadı. Yine de Check Point, SEC ile iş birliği yapıp anlaşmazlığı çözmenin kendi çıkarına olduğuna karar verdi.”
Mimecast sözcüsü Timothy Hamilton, TechCrunch’a SolarWinds hack’ine yanıt olarak şirketin “kapsamlı açıklamalar yaptığını ve etkilenmeyenler bile dahil olmak üzere müşterilerimiz ve ortaklarımızla proaktif ve şeffaf bir şekilde iletişim kurduğunu” söyledi.
Hamilton, “O dönemdeki düzenleyici gerekliliklere dayalı olarak açıklama yükümlülüklerimize uyduğumuza inanıyorduk” dedi.
Unisys sözcüsü Jamie Baid yorum yapmak için TechCrunch’a ulaştığında yorum yapmaktan kaçındı ve şirketin Salı günü yayınlanan 8-K dosyasına atıfta bulundu. Belgede Unisys, SEC ile düzenleyicinin şirkete yönelik soruşturmasını çözüme kavuşturacak bir anlaşmaya vardığını söyledi.
Son birkaç yılda SEC, veri ihlallerinin ve bunların şirket, müşterileri ve kullanıcıları üzerindeki etkilerinin ifşa edilmesi konusunda halka açık şirketlere bir dizi yeni yükümlülük getirdi.
Kaynak: https://techcrunch.com/2024/10/22/sec-fines-four-companies-7-million-for-misleading-cyber-disclosures-regarding-solarwinds-hack/