ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), küresel bir iş iletişimi ve pazarlama hizmetleri sağlayıcısı olan RR Donnelley & Sons Company (RRD) ile 2,1 milyon doların üzerinde bir anlaşmaya vardı. Anlaşma, şirketin siber güvenlik ifşasında ve 2021 sonlarında önemli bir RR Donnelley veri ihlaliyle ilgili iç kontrollerindeki başarısızlık iddialarını ele alıyor.
Kripto Varlıklar ve Siber Birimi Geçici Şefi Jorge G. Tenreiro, “Komisyon, RRD’nin siber güvenlik olaylarını kendi yönetimine aktarma ve şirket varlıklarını siber saldırılardan koruma konusundaki kontrollerinin yetersiz olması nedeniyle bu yaptırım eylemini başlattı” dedi.
“Ancak RRD soruşturmamıza anlamlı bir şekilde işbirliği yaptı ve bu, bu anlaşmanın şartlarına yansıdı.”
RR Donnelley Veri İhlali Davasının Arka Planı
SEC’nin 18 Temmuz’da duyurduğu yaptırım eylemi, kritik veri bütünlüğünü ve gizliliğini tehlikeye attığı söylenen RRD’nin yaşadığı siber güvenlik kusurlarından kaynaklanıyor. 29 Kasım 2021’de, RRD’nin üçüncü taraf yönetilen güvenlik hizmetleri sağlayıcısı (MSSP), şirketin dahili güvenlik ekibine üç güvenlik uyarısı iletti.
Ancak SEC, RRD’nin bu uyarıları yeterince ele almadığını ve şüpheli faaliyetlere ilişkin kendi zamanında soruşturmasını yürütmediğini iddia ediyor. MSSP’nin aynı tehdit ile ilgili 20 ek uyarıyı incelediği ancak yükseltmediği bildirildi.
RRD, RRD’nin ağına ortak erişimi olan bir şirketin uyarısının ardından 23 Aralık 2021’e kadar siber saldırıya aktif bir yanıt vermedi. Soruşturma, saldırganların RRD bilgisayarlarına şifreleme yazılımı yüklediğini ve 22.000 müşterisinden 29’undan 70 gigabayt veri sızdırdığını ortaya çıkardı.
Bu RR Donnelley veri ihlali hassas kişisel ve finansal bilgileri içeriyordu. RRD, olayla ilgili kamuya 27 Aralık 2021’den itibaren açıklamalarda bulundu.
SEC İddiaları ve Uzlaşma
SEC’nin emri, RRD’yi 1934 Menkul Kıymetler Borsası Kanunu’nun 13(b)(2)(B) Bölümü ve Borsa Kanunu Kuralı 13a-15(a)’yı ihlal etmekle suçladı. İddialar iki ana alana odaklandı:
- Yeterli Açıklama Kontrollerinin Korunmaması: SEC, RRD’nin siber güvenlik olaylarını bildirme kontrollerinin yetersiz olduğunu iddia etti. Şirketin özellikle siber güvenlik bilgilerini yönetime iletmek veya uyarılara yanıt vermek ve araştırmak için etkili prosedürleri yoktu. SEC ayrıca RRD’yi olay yanıt planında bir önceliklendirme şemasının olmaması ve MSSP’sinin uyarı yönetimini denetlememesi nedeniyle eleştirdi.
- İç Kontrollerin Uygulanmasındaki Başarısızlık: SEC, RRD’nin BT sistemlerine erişimin yönetim tarafından yetkilendirildiğinden emin olmak için yeterli iç kontrolleri sürdürmediğini tespit etti. Bu başarısızlık, şirketin olayı etkili bir şekilde araştırma ve düzeltme yeteneğini engelledi.
RR Donnelley veri ihlali anlaşmasının bir parçası olarak, RRD 2.125.000 $’lık bir sivil ceza ödemeyi ve bu hükümlerin daha fazla ihlal edilmesinden vazgeçmeyi kabul etti. Şirket, SEC’nin bulgularını kabul etmedi veya reddetmedi ancak yeni siber güvenlik teknolojilerini ve kontrollerini benimsemeyi taahhüt etti.
SEC, RRD’nin soruşturma sırasında gösterdiği işbirliğinin, olayla ilgili erken bildirimde bulunmasının ve siber güvenlik önlemlerinde gönüllü iyileştirmeler yapmasının, anlaşma şartlarında bir etken olduğunu belirtti.
SEC’nin RRD ile vardığı anlaşma, siber güvenlikle ilgili etkili açıklama ve iç kontrollerin sürdürülmesinin önemini vurgulamaktadır. Düzenleyici inceleme yoğunlaştıkça, şirketler siber güvenlik önlemlerinin yalnızca güçlü değil aynı zamanda yönetim ve kamuoyu için şeffaf olduğundan emin olmalıdır.
SEC’in soruşturması ve RR Donnelley veri ihlali anlaşması net bir mesaj veriyor: Siber güvenlik olaylarının yetersiz şekilde ele alınması ve raporlanması önemli mali ve itibar sorunlarına yol açabilir.