ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), eski adıyla American Stock Transfer & Trust Company LLC (AST) olan Equiniti Trust Company LLC’nin, müşteri fonlarında 6,6 milyon doların üzerinde kayba yol açan siber güvenlik hatalarıyla ilgili suçlamaları çözmeyi kabul ettiğini duyurdu.
Equiniti Trust Company’nin 2022 ve 2023 yıllarında yaşadığı siber güvenlik başarısızlığı, siber saldırıların artan tehdidini ve finans kuruluşlarında güçlü güvenlik önlemlerine duyulan kritik ihtiyacı vurguluyor.
Olaylar: İhlallerin Ayrıntılı Açıklaması
SEC’in bulgularına göre, New York merkezli kayıtlı bir transfer acentesi olan Equiniti Trust Company, şirketin güvenlik protokollerindeki önemli zayıflıkları ortaya çıkaran iki ayrı siber saldırının kurbanı oldu.
1. 2022 E-posta Kaçırma Olayı: Eylül 2022’de, bilinmeyen bir tehdit aktörü, AST (şirket o zamanlar böyle biliniyordu) ile ABD merkezli bir halka açık ihraççı müşterisi arasındaki devam eden bir e-posta görüşmesini ele geçirmeyi başardı. İhraççının bir çalışanı gibi davranan bilgisayar korsanı, AST’ye ihraççının hisselerinden milyonlarca yeni hisse senedi ihraç etmesi, bunları tasfiye etmesi ve geliri Hong Kong’daki bir yurtdışı banka hesabına aktarması talimatını verdi. Dolandırıcılıktan habersiz olan AST, talimatları uyguladı ve yaklaşık 4,78 milyon dolar transfer etti. Şirket, çalınan fonların yalnızca yaklaşık 1 milyon dolarını kurtarabildi.
2. 2023 Sosyal Güvenlik Numarası İstismarı: Nisan 2023’te, alakasız bir siber saldırıda, farklı bir tehdit aktörü çalınan Sosyal Güvenlik numaralarını kullanarak AST ile sahte hesaplar oluşturdu. Bu sahte hesaplar, adlardaki ve diğer kişisel bilgilerdeki tutarsızlıklara rağmen, yalnızca eşleşen Sosyal Güvenlik numaralarına dayanarak otomatik olarak meşru müşteri hesaplarına bağlandı. Bu güvenlik açığı, bilgisayar korsanının meşru hesaplardan menkul kıymetleri tasfiye etmesine izin verdi ve bunun sonucunda yaklaşık 1,9 milyon dolarlık bir hırsızlık meydana geldi. AST, çalınan fonların yaklaşık 1,6 milyon dolarını kurtarmayı başardı.
SEC Bulguları ve Suçlamaları
SEC’in emri, bu ihlalleri önlemede ve müşteri varlıklarını korumada başarısız olan Equiniti’nin siber güvenlik protokollerindeki önemli eksiklikleri vurgulamaktadır. Komisyon, bu başarısızlıkların 1934 Menkul Kıymetler Borsası Kanunu’nun 17A(d) Bölümü ve Kural 17Ad-12’nin ihlallerini oluşturduğunu tespit etti. Özellikle, bu düzenlemeler kayıtlı transfer acentelerinin müşteri fonlarını ve menkul kıymetlerini hırsızlıktan, kayıptan veya kötüye kullanımdan korumak için yeterli güvenlik önlemlerini sürdürmesini gerektirir.
SEC’nin San Francisco Bölge Ofisi Müdürü Monique C. Winkler, bu ihlallerin ciddiyetini vurguladı: “American Stock Transfer, müşterilerinin fonlarını ve menkul kıymetlerini şirketler ve piyasalar için neredeyse sürekli bir tehdit haline gelen siber saldırı türlerinden korumak için gerekli güvenlik önlemlerini sağlamada başarısız oldu. Tehdit aktörleri siber alanda daha karmaşık hale geldikçe, transfer acenteleri müşteri varlıkları etrafında etkili güvenlik önlemleri ve prosedürleri uygulamak ve sürdürmek için harekete geçmelidir.”
Equiniti Trust Şirketi’nin Yanıtı ve Uzlaşması
Suçlamaları çözmek için Equiniti Trust Company 850.000 $’lık bir ceza ödemeyi kabul etti. Ayrıca şirket bir durdurma ve vazgeçme emri ve kınama kararına onay verdi. Şirket müşterilerine kayıplarını tazmin ederken, olaylar finans kurumlarının siber güvenlik önlemlerindeki zaaflara ışık tuttu.
Equiniti’nin SEC ile vardığı anlaşma, finans sektöründeki siber güvenlik zaaflarının daha geniş kapsamlı etkilerini de vurguluyor. SEC’in eylemleri, transfer acentelerinin ve diğer finans kuruluşlarının giderek karmaşıklaşan ve düşmanca bir siber ortamda müşteri varlıklarının korunmasına öncelik vermesini sağlamak için katı bir düzenleyici yaklaşıma işaret ediyor.
Güçlü Siber Güvenlik Önlemlerinin Önemi
Equiniti’nin yaşadığı ihlaller finans sektörü için kritik bir dersi vurguluyor: Siber tehditler geliştikçe, hassas müşteri bilgilerini ve varlıklarını korumak için kullanılan güvenlik önlemleri de gelişmelidir. Her iki olaydaki tehdit aktörlerinin karmaşıklığı (ister meşru e-posta iletişimlerini ele geçirerek ister hesap bağlantı süreçlerindeki zayıflıkları istismar ederek) sürekli teyakkuz ve proaktif güvenlik iyileştirmeleri ihtiyacını göstermektedir.
Özellikle büyük hacimli hassas verileri işleyen finansal kuruluşlar, siber güvenlik çerçevelerinin yalnızca düzenleyici gerekliliklere uyumlu olmasını değil, aynı zamanda en son tehditlere karşı dayanıklı olmasını sağlamalıdır. Buna güvenlik protokollerinin düzenli olarak gözden geçirilmesi ve güncellenmesi, potansiyel kimlik avı ve sosyal mühendislik saldırılarını tanımak için çalışan eğitimi ve yetkisiz erişime karşı koruma sağlamak için çok faktörlü kimlik doğrulama (MFA) ve diğer gelişmiş güvenlik önlemlerinin uygulanması dahildir.
Sektöre Bir Uyarı
SEC’in Equiniti Trust Company’ye karşı aldığı karar, diğer finans kuruluşlarına yetersiz siber güvenlik uygulamalarının sonuçları konusunda bir uyarı niteliğindedir. Siber saldırıların giderek daha karmaşık ve sık hale geldiği mevcut ortamda, düzenleyicilerin müşterilerinin varlıklarını korumada başarısız olan firmalara karşı sert bir tutum takınmaları muhtemeldir.
Equiniti Trust Company için bu anlaşma önemli bir finansal ve itibar maliyeti anlamına geliyor ancak aynı zamanda şirketin savunmasını güçlendirmesi ve müşterileri arasında güveni yeniden tesis etmesi için bir fırsat da sağlıyor. İleride, tüm finans sektörü bu olaylardan dersler çıkarmak ve gelecekte benzer ihlalleri önlemek için gerekli güvenlik önlemlerine yatırım yapmakta fayda var.
Siber tehditler artmaya devam ettikçe, sistemlerinin güvenli olmasını, personelinin eğitilmesini ve müşterilerinin varlıklarının her daim mevcut olan siber saldırı riskine karşı korunmasını sağlamak tüm finans kuruluşlarının sorumluluğundadır.