Hükümet, Sektöre Özel, Liderlik ve Yönetici İletişim
Önerilen anlaşma, siber güvenlik yanlışlıkları üzerinde emsal belirleyen SEC davasını sona erdirebilir
Michael Novinson (Michaelnovinson) •
7 Temmuz 2025
ABD Menkul Kıymetler ve Borsa Komisyonu ve Solarwinds, düzenleyici kurumdaki kontrol değişikliğinin ardından bir dönüm noktası siberfraud davası açmayı kabul etti.
Ayrıca bakınız: Ondemand – SaaS veri korumasındaki sessiz boşluklar kimse hakkında konuşmuyor
Önerilen çözüm şimdi Ocak ayından bu yana Cumhuriyet kontrolü altında olan tam komisyon tarafından gözden geçirilmeli ve onaylanmalıdır. Yargıç Paul Engelmayer, o zamana kadar nihai yerleşim evrakları gönderilmediyse, SEC ve Solarwinds’i 12 Eylül’e kadar ortak bir durum raporu sunmaya yönlendirdi. Bu yerleşim gelişimi nedeniyle 22 Temmuz’da organik olarak planlanan sözlü argüman kaldı.
“Mahkeme, avukat ve bu üretken kalkınma için tarafları tebrik ediyor,” diye yazdı Engelmayer Çarşamba günü kalma emriyle yazdı. Diyerek şöyle devam etti: “Mahkeme, bekleyen tüm başvuru tarihlerini sürdürüyor ve sözlü argümanları erteliyor.”
SEC ve Solarwinds bu noktaya nasıl ulaştı
SEC’in Ekim 2023’e kadar uzanan davası, Solarwinds ve yöneticilerinin 2018 ve 2020 arasında yapılan ifadelerde siber güvenlik duruşlarını yanlış tanıttığı iddialarına odaklanıyor. Engelmayer, Temmuz 2024’te davanın çoğunu reddetti, ancak bir talebin hemen hemen yanlış bir güvenlik beyanından önce yapılan bir iddiaya odaklanmasına izin verdi. Yargıç, Solarwinds’e karşı SEC sahtekarlık iddialarının çoğunu reddetti).
Özellikle, Engelmayer, bir jürinin, dahili kayıtların çeliştiği erişim kontrolleri ve şifre politikalarıyla övündüğü için Solarwinds’in İhlal Öncesi Güvenlik Bildirimi yanıltıcı olduğunu makul bir şekilde bulabileceğini söyledi. Brown’un bu eksikliklerin içsel kabulü, aynı zamanda yanıltıcı ifadenin çevrimiçi kalmasına izin verirken, “son derece mantıksız veya aşırı suistimal” eşiğini karşılayabilir.
“Brown, güvenlik ifadesinin içeriğini yanlış ve yanıltıcı olarak etkileyen önemli veri gövdesini biliyordu,” diye yazdı Engelmayer, Temmuz 2024’te yazdı. “İfadenin kamuya açık bir şekilde verilmesine izin verme ve onlarla tutarsız şirket uygulamaları karşısında yıllarca yerinde kalmasına izin verdiği davranış, ‘son derece mantıksız veya aşırı yanlış yarışma.’
İki taraf, Engelmayer’ın kararından sonra bir yerleşime ulaşmaya çalıştı, ancak Solarwinds ve Brown için hukuk danışmanı, SEC’in teklifini kabul etme olasılıklarının düşük olduğunu ve bir üçüncü taraf arabulucunun müdahale etmesini önerdiğini söyledi. Ancak görüşmeler fışkırdı ve SEC, VPN erişimine ve yönetilmeyen cihazlara bağlı bir ağ güvenlik açığı konusunda endişeleri belgeleyen eski bir Solarwinds mühendisinden sözlü ifadeyi aradı (bakınız: SEC, Solarwinds dolandırıcılık davasında yabancı tanıklık etmek için hareket ediyor).
Özellikle, eski mühendis Robert Krajcir, Active Directory kimlik bilgilerine sahip herkesin yönetilmeyen cihazları kullanarak VPN aracılığıyla nasıl bağlanabileceğine ilişkin kırmızı bayraklar yükseltti. SEC, Krajcir’in ifadesinin hayati önem taşıdığını, çünkü başka hiçbir tanığın o sırada VPN ve ağ mimarisine özel teknik görünürlüğü olmadığını söyledi. Ancak Krajcir gönüllü olarak ifade vermeyi reddetti ve SEC’i yargı yardımı aramaya istedi.
Anlaşma SEC’deki değişen siyasi gelgitleri nasıl yansıtıyor?
Düzenleyiciler, Ciso Tim Brown’un halka açık bir şirket memuru olarak hizmet etmesini yasaklamak ve iddia edilen kötü kazanılmış kazançların kaybedilmesi de dahil olmak üzere dava yoluyla önemli cezalar aradılar. Ancak SEC komiserleri Ocak ayında çoğunlukla Demokratlar tarafından atanmaktan çoğunlukla Cumhuriyetçiler tarafından atanmaya kaydı ve eski Başkan Joe Biden altında görev yapan iki Cumhuriyetçi komisyoncu önceki yaklaşıma katılmadı.
Komiserler Hester Peirce ve Mark Uyeda, 2024’te Demokratik tarafından atanan üç komisyon üyesinin kontrol noktasını zorladığı ve Orion Hack ile ilgili maddi olarak yanıltıcı açıklamalar yapma suçlamalarını çözmek için 1 milyon dolar ödemeleri zorladı. “Pazartesi sabahı oyun kurucu forması, önemsiz bilgilerin ifşa edilmesinde ısrar etmek için yatırımcıları korumuyor” dedi (bkz. Check Point, Solarwinds Hack’ten Mimecast Secret Sec Case).
Biden altındaki SEC, menkul kıymet sahtekarlığı suçlamalarının temeli olarak siber güvenlik yanlış yönetimini kullandı, bu da ajans ilk kez siber güvenlik uygulamalarına dayanan bir muhasebe kontrolü iddiası yaptı. Başkan Trump, Ocak ayında SEC’in Uyeda Başkan Vekili’ni atadı ve şimdi komisyonda bir GOP çoğunluğunun bir parçası olan Peirce ve Uyeda, bu emsal belirleme hareketinden şüpheci görünüyor ve SEC’in haksız olarak ikinci tahmin eden şirketler olduğunu gösteriyor.
Ekim ayında, “Siber güvenlik olayları çoğu şirketin karşılaştığı sayısız sorundan biri.” Diyerek şöyle devam etti: “Komisyonun, siber saldırılara tabi olan şirketlere bir kişinin failleri yerine bir suçun kurbanı olarak davranmaya başlaması gerekiyor.”
Bazı iç eksiklikler kabul edilirken, Solarwinds avukatları kasıtlı sahtekarlık seviyesine yükselmediklerini savundu. Bunun yerine, SEC’in hileli yanlış beyanlardan ziyade siber güvenlikteki endüstri çapındaki zorluklardan haksız yere onları sorumlu tuttuğunu savunuyorlar. SEC tarafından bulunan kusurlar ya zamanla ele alındı ya da yatırımcı açıklamalarını garanti edecek kadar şiddetli değildi.
Siyasi gelgitler değiştikçe, hem SEC hem de Solarwinds, emsal belirleme davasında jüri yorumunun belirsizliğini kabul eder. SEC, yasal olarak gri bir alanda potansiyel bir deneme kaybı riske atmadan hesap verebilirlik ve itibar etkisi alırken, Solarwinds ve Brown uzun süreli bir duruşmanın itibar ve finansal ücretlerinden kaçınır. Bu alanda açık yasal emsal eksikliği, uzlaşma için verimli bir zemin sağlar.