Hakim, SolarWinds’e Karşı SEC Dolandırıcılık İddialarının Çoğunu Reddetti

Bölge Yargıcı Paul Engelmayer, Perşembe günü ABD Menkul Kıymetler ve Borsa Komisyonu’nun yalnızca SolarWinds tarafından Aralık 2020’de Rus Dış İstihbarat Servisi tarafından yapılan hack olayı kamuoyuna duyurulmadan önce yayınlanan güvenlik beyanıyla ilgili iddialarla ilgilenebileceğine karar vererek, bir jürinin şirketin güvenlik beyanını önemli ölçüde yanlış veya yanıltıcı bulabileceğini belirtti.

SolarWinds’in hack olayı kamuoyuna açıklandıktan sonraki ifşalarıyla ilgili tüm iddialar, Engelmayer’in SEC’in geriye dönük görüş ve spekülasyona dayandığını ve SolarWinds’in raporlamasında eyleme geçirilebilir eksiklikler tespit etmediğini belirlemesiyle reddedildi. Yargıç ayrıca SEC’in SolarWinds’in iç muhasebe ve ifşa kontrolleriyle ilgili iddialarını da reddetti ve SEC tarafından yetersiz bir şekilde ileri sürüldüğünü belirledi.

SolarWinds’in saldırı kamuoyuna duyurulmadan önce basın bültenleri veya bloglar aracılığıyla güvenlik uygulamaları hakkında yaptığı açıklamalar da reddedildi, çünkü Engelmayer yatırımcıların karar almada bunlara dayanmadığına karar verdi. Engelmayer, SolarWinds’e karşı açılan davanın, söz konusu davranışın bu kurallardan önce geldiği için Temmuz 2023’te kabul edilen yeni SEC siber güvenlik kurallarından etkilenmediğini söyledi.

“Mahkeme, reddetme talebini kısmen reddediyor, ancak büyük ölçüde kabul ediyor,” diye yazdı Engelmayer 107 sayfalık bir görüşte. “SEC’nin de kabul ettiği gibi, bu dava, bir ihraççının siber güvenlik kusurlarına dayalı bir muhasebe kontrol iddiası getirdiği ilk davadır.”

Yargıcın SEC’in Bir Davası Olduğuna İnandığı Yer

SEC, Ekim ayında SolarWinds’e dava açtı ve Austin merkezli şirketi Güvenlik Beyanı, podcast’leri, basın bültenleri, blog yazıları ve açıklamalarında önemli eksiklikler ve yanlış beyanlarla suçladı. İddialar büyük ölçüde SEC dosyalarındaki iddia edilen yanlış beyanlara, özellikle SolarWinds’in siber güvenlik risk açıklamasına ve hack haberinin kamuoyuna duyurulmasının ardından şirketin açıklamalarına odaklandı (bkz: SEC, SolarWinds ve CISO Tim Brown’ın Yatırımcıları Dolandırdığını İddia Ediyor).

Genel olarak, Engelmayer, Rus hack’i kamuoyuna duyurulmadan önce yapılan ifşalara dayalı olarak hükümetin menkul kıymet dolandırıcılığı ve plan sorumluluğu iddiaları için yeterli gerekçe buldu, ancak SEC’nin hack sonrası bazı ifşalarla ilgili iddialarını ve yargıcın dava edilemeyecek bir abartı olarak gördüğü ifadeleri reddetti. SEC, Engelmayer’in görüşü hakkında yorum yapmayı reddetti (bkz: SolarWinds, Mahkemenin Düzenleyicinin Dolandırıcılık Davasını Reddetmesini Talep Ediyor).

SolarWinds, Information Security Media Group’a e-postayla gönderdiği bir bildiride, “Yargıç Engelmayer’in SEC’nin iddialarını reddetme talebimizi büyük ölçüde kabul etmesinden memnunuz,” dedi. “İlk kez kendi kanıtlarımızı sunma ve kalan iddianın neden gerçek dışı olduğunu gösterme fırsatına sahip olacağımız bir sonraki aşamayı sabırsızlıkla bekliyoruz.”

Özellikle, SolarWinds’in güvenlik beyanı güçlü erişim kontrolleri iddia etti, ancak SEC çalışanlara yaygın olarak idari haklar verilmesinin şirket içinde tanındığını ancak kamuya açıklanmadığını söyledi. Ayrıca, güvenlik beyanı sağlam parola uygulamaları iddia ediyor, ancak SEC şirketin basit ve şifrelenmemiş parolalar etrafındaki zayıf uygulamalarının şirket içinde belgelendiğini ancak kamuya açıklanmadığını buldu.

Engelmayer, SEC davasında adı geçen davalılardan biri olan SolarWinds CISO Tim Brown’ın şirketin erişim kontrolleri ve parola politikalarındaki eksiklikleri bildiğini ve bunları dahili olarak kabul ettiğini ancak yine de yanıltıcı güvenlik bildiriminin SolarWinds’in web sitesinde kalmasına izin verdiğini söyledi. Brown bir şirket çalışanı olduğundan, yargıç SolarWinds’in de yanlış beyanlardan sorumlu olabileceğini söyledi.

“Brown, Güvenlik Beyanı’nın içeriğini yanlış ve yanıltıcı olarak çürüten önemli miktarda veri olduğunu biliyordu,” dedi Engelmayer. “Şirketin bununla tutarsız uygulamalarına rağmen, beyanın kamuoyuna açıklanmasına ve yıllarca yürürlükte kalmasına izin verme davranışı, makul bir şekilde ‘son derece mantıksız veya aşırı suistimal’ olarak savunulabilir.”

Hakim Tarafından Onaylanmayanlar

Rus hack’inin kamuoyuna duyurulmasının ardından SEC, SolarWinds’in ABD Adalet Bakanlığı ve Palo Alto Networks’ten gelen kötü niyetli faaliyet raporlarını ifşa etmeyerek yanıltıcı davrandığını iddia etti. Ancak Engelmayer, SolarWinds’in ifşasının, saldırının gelişen anlayışı göz önüne alındığında yeterince ayrıntılı olduğuna ve yatırımcıları önemli ölçüde yanıltmadığına karar verdi.

SEC ayrıca SolarWinds’in zayıf erişim kontrolleri, zayıf parola politikaları ve hayati kaynak kodlarını, veritabanlarını ve ürünleri açığa çıkaran VPN güvenlik açıkları nedeniyle yeterli dahili muhasebe kontrollerini sürdürmede başarısız olduğunu iddia etti. Ancak Engelmayer, “dahili muhasebe kontrollerinin” özellikle finansal muhasebeyle ilgili olduğunu, güvenlik önlemleriyle ilgili olmadığını ve bu nedenle varlıkları koruyan tüm sistemleri kapsamadığını hükmetti.

“Siber güvenlik kontrolleri tartışmasız hayati öneme sahiptir ve bunların başarısızlığı sistemsel olarak zararlı sonuçlara yol açabilir,” dedi Engelmayer. “Ancak bu kontrollerin ‘şirketin muhasebe sistemlerinde ortaya çıkan hataları ve usulsüzlükleri önlemek ve tespit etmek’ için yerinde olduğu adil bir şekilde söylenemez.”

SEC, SolarWinds’in olayları düşük öneme sahip olarak yanlış sınıflandırmasının üst düzey yöneticiler tarafından uygun ifşaların yapılmasını engellediğini iddia etti ve federal düzenleyiciler, ifşa kontrollerinde sistemsel eksikliklere işaret ettiğini söyledikleri bir VPN güvenlik açığının yönetici incelemesine yükseltilmemesine işaret etti. Ancak Engelmayer, izole yanlış sınıflandırmaların sistemsel eksikliklere işaret etmediğini ve tek bir ihmalin genel bir başarısızlığı göstermediğini söyledi.

Engelmayer ayrıca CEO’ya yönelik yardım ve yataklık iddialarını da reddetti.