Bir hukuk uzmanına göre, büyük MOVEit ihlalinin ardından Progress Software aleyhine ülke çapında açılan bir toplu dava, savunmasız uygulamaları büyük ölçekli tedarik zinciri saldırılarında istismar edilen yazılım şirketlerine karşı ek davalara işaret edebilir.
İlerleme, Cl0p fidye yazılımı çetesinin MOVEit tarafından yönetilen dosya aktarımında kritik bir sıfır gün kusurundan yararlanmasının ardından tüketici hakları hukuk firması Hagens Berman (HBS) tarafından ülke çapında açılan beş toplu davada diğerlerinin yanı sıra ihmal ve sözleşme ihlali iddialarıyla karşı karşıya başvuru.
Saldırı, aralarında Shell Oil ve British Airways’in de bulunduğu çok uluslu, yüksek profilli milyon ve milyar dolarlık kuruluşları ve ayrıca hem dahili hem de harici olarak hassas verileri ve büyük dosyaları değiş tokuş etmek için MOVEit kullanan kamu ve özel sektördeki daha küçük kuruluşları etkiledi.
Yazılımın savunmasız sürümlerinin kurulu olduğu ortamlar, müşterilerin adları, Sosyal Güvenlik numaraları, doğum tarihleri, demografik bilgileri, sigorta poliçesi numaraları ve diğer mali bilgiler dahil olmak üzere hassas kişisel olarak tanımlanabilir bilgilerini (PII) açığa çıkardı.
HBS, Progress’in toplamda 40 milyondan fazla kişinin hassas kişisel bilgilerini ele geçirdiğini iddia ediyor ve etkilenen 600’den fazla kuruluş ortaya çıktıkça daha fazla toplu davanın yolda olacağını vaat ediyor.
Davalar, Progress’in “kişisel olarak tanımlanabilir bilgileri uygun şekilde güvence altına almada ve korumada” başarısız olduğunu, dolayısıyla davacıları “mevcut ve devam eden bir kimlik hırsızlığı riskine” ve ayrıca mahremiyet ihlaline, finansal maliyetlere, zaman kaybına ve üretkenlik kaybına maruz bıraktığını iddia ediyor. bir mahkeme dosyasına. Ayrıca, özel bilgilerinin suçlular tarafından kötüye kullanılmasına ilişkin sürekli bir riskle karşı karşıyadırlar.
Davanın nasıl ilerlediğine bağlı olarak, yazılım sağlayıcıların, ürünlerindeki güvenlik açıklarını saldırganlar bunları istismar etmeden ve müşterileri için veri, mali ve diğer kayıplara neden olmadan önce giderememeleri durumunda, bu durum yazılım sağlayıcılarının sorumluluğu için daha fazla emsal teşkil edebilir.
HBS’nin davadaki ortaklarından biri olan Sean Matt, “Vakalar, yazılım satıcılarının ihlallere karşı koruma konusunda daha dikkatli olmaları gerektiğini gösteriyor” diyor. “Daha fazla ihlal meydana geliyor ve sonuç olarak daha fazla dava açılıyor.”
Milyon Dolarlık Yerleşimlerin Önceliği
Gerçekten de, savunmasız yazılımlara yönelik saldırılar hassas verilerin ihlal edilmesiyle sonuçlandığında, multi-milyon dolarlık anlaşmalar kazanan davacıların önceliği var, diyor.
Güvenlik firması Cyware’in başkan yardımcısı Willy Leichter, “Bunun gibi toplu davaların çoğu mahkeme dışında sonuçlanıyor çünkü akıllı satıcılar aylarca süren keşif ve kamu davalarına sürüklenmek istemiyorlar” diyor.
Oklahoma City’de bir siber güvenlik ve veri gizliliği avukatı olan Collin Walke, böyle bir vakanın, şirketin milyonlarca insanı etkileyen bir veri ihlaliyle sonuçlanan sıfır günlük bir istismarla ilgili olarak 8,1 milyon dolarlık bir anlaşmaya vardığı Accellion veri ihlali olduğunu söyledi. daha önce Oklahoma Temsilciler Meclisi’nde görev yapan.
Diğer anlaşmalar ve MOVEit davaları gibi, Accelion davası da diğerlerinin yanı sıra ihmal, sözleşme ihlali ve mahremiyet ihlali iddialarına dayanıyordu. Ayrıca, MOVEit gibi fidye yazılımı durumlarında, kurban kuruluş fidyeyi ödemeyi seçerse bu ödüller potansiyel olarak daha yüksek olabilir ve böylece kayıplarının maliyeti artar.
MOVEit söz konusu olduğunda, Coveware kısa bir süre önce, ihlalin Cl0p’yi 100 milyon dolara kadar kazanabileceğini tahmin eden bir analiz yayınladı; bu para, şirketlerin yasal işlem yoluyla telafi etmeye çalışabilecekleri bir para.
Walke, “Yazılım şirketlerinin, yazılımlarının kusurlu olması durumunda maruz kaldıklarını kesinlikle fark etmelerini sağlıyor” diyor. “Şirket güvenlik açıklarını bilseydi ve onları durdurmak için hiçbir şey yapmazsa bu özellikle doğru olurdu.”
Sorumlu mu değil mi?
Walke, şu anda MOVEit’te durumun böyle olup olmadığının ve Progress’in tam olarak neden sorumlu olduğunun net olmadığını söylüyor. Yazılım satıcısı, 31 Mayıs’ta Cl0p saldırılarının merkezindeki kusuru yamaladı, aynı gün kusur ifşa edildi. Ancak toplu davalar, güvenlik açığının 2021’den beri var olduğunu iddia ediyor.
Mahkemede yargılanırsa davanın can alıcı noktası, Progress’in kusuru istismar edilmeden önce tespit etmede ihmalkar davranıp davranmadığına bağlı olacaktır. davanın iddia ettiği gibi, bu nedenle müşterilere karşı çeşitli sorumlulukları yerine getirememek.
Davacılara göre, bu sorumluluklar arasında temel ağ korumalarının izlenmesi ve sürdürülmesi; yeterli veri saklama politikalarının sürdürülmesi; veri güvenliği konusunda personel eğitimi; endüstri veri güvenliği standartlarına uygunluk; ve kullanıcıların özel bilgilerinin şifrelenmesi.
Walke, “Herhangi bir sıfır gün açığı, yakalanıp yama yapılmaması nedeniyle ‘ihmal’ teşkil edebiliyorsa, o zaman dünyadaki her yazılım şirketi ifşa olur” diyor. “Bununla birlikte, ihmal, sıfırıncı gün istismarının bildirilmesini ve ardından harekete geçilmemesini gerektiriyorsa, bu, potansiyel olarak sorumlu şirketler havuzunu yalnızca kusuru fark eden ve görmezden gelenlere daraltır.”
Tabii ki, şirket uzlaşmaya karar verirse bunların hiçbiri önemli değil ki bu, özellikle vakalar artmaya devam ederse olası görünüyor.
MOVEit’ten bir sözcü, Progress’in sürmekte olan dava hakkında yorum yapmadığını söylüyor. Sözcü, şu anda şirketin odak noktasının “geliştirdiğimiz yamaları uygulamak da dahil olmak üzere ortamlarını daha da sağlamlaştırmak için gereken adımları atabilmeleri için müşterilerle yakın çalışmaya devam ediyor” dedi.
Etkiler İleriye Dönüyor mu?
Yazılım satıcısı sorumluluğuyla ilgili tartışma ve olası mevzuat kızışırken ve Biden yönetimi bunun yanıtını düşünürken vakalar çok önemli bir zamanda ortaya çıkıyor. Biden Yönetimi tarafından Mart ayında yayınlanan Ulusal Siber Güvenlik Stratejisi, şu anda tanınan sorumluluk paradigması kapsamında, yazılım satıcılarının çözümlerindeki istismar edilen kusurlardan nadiren sorumlu tutulduğunu kabul etti.
Bir yakınsama uç nokta yönetimi sağlayıcısı olan Tanium’da küresel yönetici katılımı kıdemli danışmanı Mark Millender, “Sözleşme, ürün yükümlülüğü veya genel hukuk ihmali teorileri kapsamında olsun, yazılım üreticileri bugüne kadar neredeyse evrensel olarak anlamlı sorumluluktan kaçınmayı başardılar” diyor.
Ulusal Siber Güvenlik Stratejisi, yönetim, Kongre ve özel sektör arasında, bu tür bir sorumluluğu tesis edecek mevzuat geliştirmek için ortak bir çaba öneriyor; bu, zaman alacak ancak nihayetinde gerekli bir süreç.
Millender, “Piyasayı daha güvenli ürünler ve hizmetler üretirken inovasyonu korumaya yönlendirmek için hesap verebilirlik eksikliğini gidermek çok önemlidir” diyor.
Cyware’den Leichter, “Yazılım artık o kadar çok fiziksel ürünün ayrılmaz bir parçasıdır ki, yazılım endüstrisi, ürünleri karmaşık veya hata ayıklaması zor olduğu için özel bir bağışıklık talep edemez.” “Bu dava başarılı olursa, muhtemelen yazılım satıcılarına karşı daha fazla iddiaya yol açacaktır, ancak bu, yazılımın dünyayı yönetmesinin kaçınılmaz maliyetidir.”