Editörün notu: Bu hikaye gelişiyor ve güncellenecek.
Menkul Kıymetler ve Borsa Komisyonu, SolarWinds ve CISO’su Timothy Brown’u, Aralık 2020’de keşfedilen Sunburst saldırısına yol açan siber güvenlik uygulamaları konusunda yatırımcıları yanılttığı iddiasıyla dolandırıcılık ve iç kontrol başarısızlıklarıyla suçladı.
Pazartesi günü SEC, şirketin siber güvenlik uygulamalarını abarttığını ve Ekim 2018’den en azından Sunburst saldırısına kadar bilinen riskleri açıklamadığını iddia etti.
SEC şikayetinde, şirketin uzaktan erişim kurulumunun “pek güvenli olmadığını” gösteren, şirket mühendisi tarafından Brown ve diğerleriyle paylaşılan 2018 değerlendirmesi de dahil olmak üzere, şirketten yapılan kamuya açık açıklamaların dahili değerlendirmelerle çeliştiği belirtildi.
Eylül 2020’de Brown ve diğerleriyle paylaşılan bir dahili belgede, SEC’e göre “geçen ay tespit edilen” güvenlik sorunlarının miktarının mühendislik ekibinin çözme kapasitesini aştığı belirtildi.
SEC, SolarWinds’in 14 Aralık 2020’de 8-K formuna yaptığı başvuruda da eksik bir açıklama yaptığını söyledi. Şirketin hisseleri önümüzdeki iki gün içinde %25 düştü.
SolarWinds yaptığı açıklamada suçlamalara itiraz etti.
Şirket, yaptığı açıklamada, “SEC’in, bir Amerikan şirketine yönelik Rus siber saldırısıyla ilgili asılsız suçlamalarından dolayı hayal kırıklığına uğradık ve bu eylemin ulusal güvenliğimizi riske atacağından derin endişe duyuyoruz” dedi. “SEC’in bize ve CISO’muza karşı dava açma kararlılığı, ajansın aşırı müdahalesinin bir başka örneğidir ve ülke çapındaki tüm kamu şirketlerini ve kararlı siber güvenlik profesyonellerini alarma geçirmelidir.”
Suçlamalar şöyle: SEC’in Haziran ayında gönderdiği bildirim soruşturma sonucunda şirkete ve Brown’a olası eylemler hakkında bilgi verdi.