Progress Software, Mayıs ayında tespit edilen MOVEit sıfır gün güvenlik açığı nedeniyle minimum düzeyde mali etkiye maruz kaldı, ancak davalar ve hükümet soruşturmaları artıyor.
Şirket, Menkul Kıymetler ve Borsa Komisyonu, Federal Ticaret Komisyonu, yerli ve yabancı veri gizliliği düzenleyicileri ve bazı eyalet başsavcılarının MOVEit sıfır gün güvenlik açığını ve bunun sonucunda ortaya çıkan istismarları araştırdığını söyledi. yıllık rapor Cuma günü SEC’e başvurdu.
Şirket, kurumsal yazılım şirketinin aynı zamanda “MOVEit Transfer müşterilerimizin ortamlarından veri sızdırılmasından etkilendiğini iddia eden kişiler tarafından açılan yaklaşık 118 toplu davanın da tarafı” olduğunu belirtti.
MOVEit istismarlarının neden olduğu yaygın hasarın ardından Progress’i bekleyen potansiyel para cezalarının ve cezaların kapsamı, şirketin tepki dinamiklerini ve iş görünümünü değiştirebilir.
MOVEit sıfır gün saldırıları doğrudan en az 100 müşterinin güvenliğini tehlikeye attı, ancak saldırıların arkasındaki Clop fidye yazılımı grubu bu erişimi kullandı. sonuçta en az 2.700 kuruluştan veri çalındı93 milyonun üzerinde kişisel kayıt açığa çıktı.
MOVEit güvenlik açığı milyonlarca kişiyi ve binlerce kuruluşu etkiledi ancak dosya aktarım hizmeti Progress için önemli bir gelir kaynağı değil. MOVEit, Progress’in 2023 mali yılı gelirinin %4’ünden azını temsil ediyordu.
Bu noktaya kadar sigorta, MOVEit sıfır gününden kaynaklanan maliyetleri büyük ölçüde karşıladı.
Progress, 30 Kasım’da sona eren 2023 mali yılında, MOVEit güvenlik açığıyla ilgili olarak 1,5 milyon dolarlık maliyete maruz kaldı; buna 3,7 milyon dolarlık sigorta kurtarmaları dahil değil. Şirketin mevcut siber güvenlik sigortası teminatında 8,8 milyon dolar kaldı.
Toplam yıllık siber olay ve güvenlik açığı müdahale giderleri neredeyse 6,2 milyon doları buldu ve bu, Progress’in 2023 mali yılı olan 694 milyon dolarlık gelirinin %1’inden azını oluşturdu; bu rakam, önceki yıla göre %15 artış gösterdi.
Soruşturmalar devam ediyor
Doğrudan iken MOVEit sıfır gün güvenlik açığına atfedilebilen finansal maliyetler Şirket, sınırlı kalması nedeniyle yatırımcıları yasal iddialardan, para cezalarından veya cezalardan kaynaklanabilecek gelecekteki potansiyel kayıplar konusunda uyardı.
FTC ve SEC, aşağı yönlü tavizlere ve kişisel verilerin çalınmasına yol açan zayıf güvenlik uygulamaları nedeniyle şirketlere karşı suçlamalarda bulundu ve onlara karşı emirler uyguladı. SEC, SolarWinds ve CISO Tim Brown’ı suçladı Ekim ayında, Aralık 2020’de keşfedilen Sunburst saldırısına yol açan dolandırıcılık ve iç kontrol başarısızlıklarıyla sonuçlandı.
Progress, “şu anda meydana gelen kayıplar veya (eğer varsa) kayıp aralığına ilişkin bir tahmin geliştiremediğini” ve şirketin MOVEit güvenlik açığına ilişkin henüz bir kayıp olasılığı veya tahakkuk eden sorumluluk kaydetmediğini söyledi.
Şirket, SEC dosyasında “Miktar, kapsam ve zamanlaması önemli olabilecek ancak şirketin şu anda tahmin edemediği” ifadesine yer verdi.
Progress, sürmekte olan üç resmi hükümet soruşturmasının ana hatlarını çizdi:
- Saniye Progress’e mahkeme celbi yayınladı 2 Ekim’de konuyla ilgili resmi soruşturmanın bir parçası olarak.
- Progress’in yıllık raporunda, FTC’nin şirkete 21 Aralık’ta bir koruma bildirimi gönderdiği ancak ajansın henüz bilgi talep etmediği veya resmi bir FTC soruşturması konusunda şirkete bildirimde bulunmadığı belirtildi. FTC mektubu, Progress’in soruşturmayla ilgili tüm verileri korumasını gerektiriyor.
- Şirket, Columbia Bölgesi Başsavcılığı’nın MOVEit güvenlik açığıyla ilgili bir soruşturma başlattığını ve Progress’in 18 Ocak’ta mahkeme celbi yoluyla bilgilendirildiğini söyledi.
İlerleme, MOVEit güvenlik açığıyla bağlantılı tüm masrafların karşılanmasını isteyen bir sigorta şirketi tarafından açılan bir halefiyet talebi ve 31 müşteriden gelen, bazıları tazminat istemeyi planladığını belirten resmi mektuplar da dahil olmak üzere kapsamlı yasal zorluklarla karşı karşıyadır.