YORUM
Ekim 2023’te Menkul Kıymetler ve Borsa Komisyonu (SEC), SolarWinds Corp. ve onun bilgi güvenliği sorumlusuna (CISO) karşı çığır açan bir dava başlatarak güvenlik profesyonellerinin durumunu önemli ölçüde değiştirdi. Bu dava, özellikle SEC’in bir icra davasında bir CISO’yu bireysel olarak suçladığı ilk seferdi ve birçok güvenlik liderinin, benzer davalara karşı hem birey olarak kendilerini hem de kuruluşlarını korumak için hangi acil adımları atmaları gerektiğini sorgulamasına neden oldu.
Günümüzde siber güvenlik alanında çalışan çoğu kişi, 2020 yılında bir tehdit aktörünün ağ şirketinin ortamına yetkisiz erişim sağladığı ve Orion yazılımına kötü amaçlı yazılım yerleştirdiği SolarWinds ihlalinin farkındadır. SolarWinds, kötü amaçlı yazılımı içeren Orion güncellemesini bilmeden müşterilere yaydı.
Geçen yılın sonlarında SEC, SolarWinds’e ve onun CISO’su Timothy Brown’a, SolarWinds’in siber güvenlik riskleri, uygulamaları ve SEC’e sunulan belgelerdeki güvenlik açıkları hakkında yatırımcılara yanlış ve yanıltıcı beyanlarda bulundukları iddiasıyla dava açtı. Şirketin web sitesinde ve basın bültenleri, podcast’ler ve blog gönderileri dahil olmak üzere diğer çeşitli medyalarda.
CISO’lar Ne Yapmalı?
SEC’in davasının dava yoluyla çözülmesi yıllar alabilir, ancak işte tüm halka açık şirket CISO’larının şimdi dikkate alması gereken beş eylem maddesi.
-
CFO ve finansal raporlama ekibiyle açık bir iletişim hattı kurun. SEC raporlama ve bilgi güvenliği fonksiyonları yakından uyumlu hale getirilmelidir. Maddi siber güvenlik olaylarına yönelik yeni 8-K raporlama kuralları ışığında koordinasyon özellikle önemlidir.
-
Müşterilere veya satıcılara yönelik beyanların, hissedarlara yönelik beyanlarla karşılaştırılabilir düzeyde incelemeye tabi olmasını sağlayın. ABD menkul kıymetler yasaları kapsamındaki sorumluluğun yalnızca SEC başvurularında yapılan beyanlara bağlı olduğu yaygın bir yanılgıdır. SolarWinds örneğinin gösterdiği gibi SEC, blog gönderileri, basın bültenleri ve sözlü açıklamalar da dahil olmak üzere tüm kamuya açık iletişimlerin yatırımcılara yönelik toplam bilgi karışımını etkileyebileceği görüşünü benimsiyor. Pazarlama şişirme ile potansiyel yanıltıcı yatırımcıları arasında ince bir çizgi vardır ve tüm kamuya yapılan açıklamalar yatırımcılar ve potansiyel menkul kıymet sorumlulukları göz önünde bulundurularak hazırlanmalıdır.
-
Bilgi güvenliği politikalarının ve kontrollerinin en son teknolojiye sahip olduğundan emin olun. Davanın en tartışmalı unsurlarından biri SEC’in, SolarWinds’in bu suiistimale girişerek mali raporlaması üzerinde yeterli dahili muhasebe kontrollerini sürdürmediği yönündeki iddiasıdır. Her ne kadar bu sorun nihai olarak dava yoluyla çözülse de, SEC gelecekte diğer şirketlere karşı da benzer iddialarda bulunmayı düşünebilir. CISO’lar ayrıca kendilerine sunulan sigorta ve kurumsal tazminatların stokunu da almalıdır.
-
İç denetim ve diğer güvence sağlayıcılarla ekip kurun. Test sistemleri onları daha dayanıklı hale getirebilir ve harici iletişimde birden fazla göze sahip olmak hataların azaltılmasına yardımcı olabilir.
-
Şüpheye düştüğünüzde avukatınıza danışın. SEC’in siber güvenliğe ilişkin görüşleri karmaşıktır ve hızla gelişmektedir. Yeni veya belirsiz gerçek kalıpları ortaya çıktığında bunları SEC konularında deneyimli siber güvenlik danışmanlarıyla tartıştığınızdan emin olun.
SEC, genellikle veri gizliliği ve ulusal güvenlik gibi karmaşık konuları içeren siber güvenlik ihlallerini ele alırken yatırımcının korunmasına öncelik veriyor. Son zamanlarda SEC, halka açık şirketlerin siber güvenlik gözetimini yıllık raporlarda rapor ederek ve önemli olayları dört iş günü içinde açıklayarak şeffaflığı artırmalarını zorunlu kıldı. SEC’de işlerin nasıl gelişeceğini görmek ilginç olacak ancak bu vakaların, dijital çağda şeffaflık ve hesap verebilirliğin artan öneminin altını çizerek, endüstriler genelinde siber güvenlik ifşaatlarının nasıl ele alınacağını yeniden şekillendirebilecek bir emsal teşkil edeceğine şüphe yok.