Dava, Standartlar, Düzenlemeler ve Uyumluluk
Yüksek Profilli Dava, Hakimin SEC’in Siber Dolandırıcılık İddialarını Cesaretlendirmesiyle Sona Erdi
Chris Riotta (@chrisriotta) •
21 Kasım 2025
Federal menkul kıymet düzenleyicileri, SolarWinds ve bilgi güvenliği sorumlusuna yönelik kalan suçlamalardan vazgeçerek, şirketi geniş kapsamlı bir Rus siber saldırısı öncesinde siber güvenlik zayıflıklarını maskelemekle suçlayan yüksek profilli bir davayı sona erdirdi.
Ayrıca bakınız: Bulutta Uyumluluk ve Güvenlik Sorunlarının Ele Alınması Konulu OnDemand I Panel Tartışması
ABD Menkul Kıymetler ve Borsa Komisyonu, SolarWinds ve CISO Tim Brown Perşembe günü yaptıkları bir başvuruda federal mahkemeden davayı önyargılı bir şekilde sonlandırmasını, 2020 Rusya bağlantılı casusluk kampanyasından kaynaklanan davayı kapatmasını ve analistlerin CISO topluluğunu alarma geçirdiğini söylediği 2023’teki yaptırım baskısını talep etti. Görevden alınma, ABD’nin Güney New York Bölgesi Yargıcı Paul Engelmayer’in, hack’in kamuya açıklanmasının ardından yaşanan olaylarla bağlantılı tüm iddialar ve siber güvenlik operasyonlarını menkul kıymetler kanunu kapsamında iç muhasebe kontrolleri olarak ele alan temel teoriler de dahil olmak üzere SEC’in orijinal şikayetinin çoğunu 2024 yılında iptal etmesinden sonra geldi.
Siber bir olayla bağlantılı bir menkul kıymetler dolandırıcılığı davasında adı geçen tek CISO’dan biri olan Brown, bir LinkedIn gönderisinde sonucu kutladı ve şöyle yazdı: “Uzun bir yol oldu ve sonunda bittiğine sevindim.”
“Yanlış bir şey yapmadık ve bunu kanıtlamak için son üç yıl boyunca durmaksızın mücadele ettik” diye ekledi ve dava ilerledikçe SolarWinds’in liderliğini, hukuk ekibini ve güvenlik topluluğunu ona destek verdikleri için övdü. SolarWinds’in bir sözcüsü yaptığı açıklamada şirketin “açıkça memnun olduğunu” söyledi.
SEC, SolarWinds’in güvenlik duruşuna ilişkin aşırı güvenli bir tablo çizdiğini, dahili ekiplerin ise erişim kontrolleri, şifre uygulamaları ve ağ bölümlendirmesindeki boşlukları belgelediğini savundu. Savcılar, yatırımcıların, ihlal kamuya açıklanmadan önce şirketin siber riske maruz olduğu konusunda yanıltıldığını iddia etmek için bu iç değerlendirmeleri kullanmaya çalıştı.
Teşkilatın yaklaşımı, davanın menkul kıymetler yasasını geleneksel sınırlarının çok ötesine taşıyabileceği konusunda uyarıda bulunan güvenlik liderleri ve şirket danışmanları için kısa sürede bir parlama noktası haline geldi. SEC, Brown’ı doğrudan hedef alarak ve günlük güvenlik programı kararlarına meydan okumak için iç kontrol hükümlerinden yararlanarak, birçok kişinin doğası gereği finansal olmaktan ziyade operasyonel olarak gördüğü boşluklardan bireysel yöneticileri sorumlu tutma isteğinin sinyalini verdi.
Uygulama güvenliği firması ImmuniWeb’in CEO’su ve Amerikan Barolar Birliği’nin Bilgi Güvenliği Komitesi başkan yardımcısı Ilia Kolochenko, “Belirgin nedenlerden dolayı, SEC, oldukça duyurulan ve yakından izlenen bu davada risk almak istemedi; bunun yerine, mahkemede kesin olarak galip gelebileceği yaklaşan davalar için kaynaklarını korudu” dedi.
Kolochenko, güvenlik liderlerinin işten çıkarmayı kişisel ifşadan korunma olarak görmemesi gerektiği konusunda uyardı ve “veri ihlallerinden dolayı kişisel sorumluluk riskinin artık ortadan kalktığına inanmanın tedbirsizlik olacağını” söyledi. Daha dostane bir federal ortamın bile Federal Ticaret Komisyonu, Federal İletişim Komisyonu veya SEC gibi kurumların “SolarWinds deneyiminden sonra çok daha iyi hazırlanırken” büyük veri koruma başarısızlıklarını takip etmesini engellemeyebileceğini ekledi.
Analistler, sonucun komisyondaki liderlik değişikliğini yansıttığını söylüyor. SEC’in siber güvenliğin uygulanmasına ilişkin duruşu, Demokrat komisyonun çoğunluğunun daha agresif yaptırım eylemlerini desteklemesiyle büyük ölçüde Başkan Joe Biden tarafından şekillendirildi. Ajansın aşırıya kaçtığını ve geçmişe dönük bilgilere dayandığını savunan Cumhuriyetçi komisyon üyeleri Hester Peirce ve Mark Uyeda’dan eleştiriler aldılar.
Komisyondaki dinamik, Başkan Donald Trump’ın Ocak ayında Uyeda’yı başkan vekili pozisyonuna getirmesiyle değişti ve Cumhuriyetçilere geniş düzenleyici teorilere daha şüpheci bir çoğunluk kazandırdı. Gözlemciler, görevden almanın, komisyonun siber güvenlik alanında menkul kıymetler kanununun kapsamlı yorumlarını test etmek yerine daha dar, ifşa odaklı davaları tercih edebileceğini öne sürdüğünü söyledi (bkz: SEC ve SolarWinds Neden Siber Dolandırıcılık Davasını Çözmeyi Kabul Etti?).