Hukuk ve risk yönetimi uzmanları, Menkul Kıymetler ve Borsa Komisyonu’nun SolarWinds’e karşı dolandırıcılık suçlamasında bulunma kararının, tüm kamu şirketlerinin ajansın yeni siber ifşa gerekliliklerine uymaları konusunda bir uyarı olarak görülmesi gerektiğini söylüyor.
SEC, şirkete ve CISO Tim Brown’a suç duyurusunda bulundu Yatırımcıları dolandırmakla, Şirketin Aralık 2020 Sunburst saldırısına yol açan güvenlik açıklarını örtbas ettiğini ve güvenlik avantajlarını abarttığını iddia etti.
SolarWinds ciddi mali cezalarla karşı karşıya kalabilir ve saldırıdan aylar sonra CISO’ya terfi ettirilen Brown, SEC’in kazanması halinde kurumsal yönetici veya direktör olarak çalışmaktan kalıcı olarak men edilebilir.
Gallagher’ın siber sorumluluk uygulamalarının genel müdürü John Farley, e-posta yoluyla şunları söyledi: “SEC, kuruluşların yeni açıklama talimatlarını çok ciddiye alması gerektiğini açıkça ortaya koydu.” “Siber risk yönetimi stratejilerine özel kamuya yapılan açıklamalar gerçeği yansıtmalı ve her gün uygulamaya konulmalıdır.”
SolarWinds davası iki aydan kısa bir süre sonra ortaya çıkıyor SEC’in yeni açıklama kuralları yürürlüğe girdiHalka açık şirketlerin maddi siber olayları açıklamasını zorunlu kılıyor.
Kısa bir ek sürenin ardından şirketler, siber güvenlik olaylarını önemliliğin belirlenmesinden sonraki dört gün içinde 8-K formuyla raporlamak zorunda kalacak. Şirketler ayrıca yönetim kurulu gözetimi ve yönetimin şirketin siber güvenlik risk stratejisindeki rolü hakkında yıllık açıklamalarda bulunmak zorunda kalacak.
Endüstri şok dalgaları
Şikayette ayrıntılı dahili e-postalar, belgeler ve Brown ile diğer yöneticilerin SolarWinds’teki güvenlik açıkları ve diğer dahili zayıflıklar hakkındaki kayda değer endişeleri açıkça tartıştıklarını gösteren diğer kanıtlar yer aldığından, SEC davası sektörde şok dalgaları yarattı.
Örneğin, 2018’de SolarWinds’teki bir ağ mühendisi, şirketin uzaktan erişim sanal özel ağında, dışarıdan bir cihazın şirkete erişmesine izin verebilecek bir güvenlik açığı tespit etti. Mühendis, yapılandırmanın “pek güvenli olmadığı” ve bir tehdit aktörünün tespit edilmeden erişime izin verebileceği konusunda uyardı.
Başka bir örnekte, 2018 yılında üst düzey yöneticilere gönderilen bir e-posta, SolarWinds Güvenli Geliştirme Yaşam Döngüsünün yanlış olduğunu belirtti ve yöneticiler, şirketin bunu gerçeğe dönüştürecek zamanı olana kadar iddianın yanlış niteliğini gizlemeye çalıştı.
Foley & Lardner’ın ortaklarından avukat Aaron Tantleff, “Çevrelerinin nasıl olduğunu biliyorlardı” dedi.
SolarWinds ayrıca kendi bünyesinde uygun kontrolleri almadığını kabul etti, ancak kamuoyunda bunun tersini beyan etti.
SolarWinds’e karşı açılan dava, SEC’in siber güvenlik ifşaatları nedeniyle ilk kez harekete geçmesi değil. Bu yılın başlarında ajans, eğitim yazılımı şirketi Blackbaud’u 2020 fidye yazılımı saldırısı hakkında yanıltıcı açıklamalar yapmakla suçlamıştı. Şirket ödemeyi kabul etti Suçlamaları karşılamak için 3 milyon dolar.
Rapid7 CEO’su Corey Thomas, çarşamba günü üç ayda bir yapılan konferans görüşmesinde, mevcut tehdit ortamının ve son SEC baskılarının CISO’ların güvenlik önceliklerine bakış açısını etkilediğini söyledi.
Bir analistin sorusuna yanıt olarak Thomas, “CISO’lar özellikle SEC’in SolarWinds ve diğer şeylerle ilgili son eylemlerinden bazılarında, güvenlik ve kendi kişisel sorumluluklarına açıkça odaklanmış durumdalar” dedi. “Ve bu yüzden güvenliğe birinci öncelik veriyorlar.”
SEC’in eylemi, federal ve eyalet yetkililerinin tüketici verilerini korumaya ve şirketlerin uygun iç kontrolleri sürdürmesini sağlamaya daha fazla odaklandığı bir zamanda geldi. Yetkililer ayrıca şirketlerin bir şeyler ters gittiğinde şeffaf kalmaları gerektiği mesajını da gönderiyor.
2022 yılında, Eski Uber CSO’su Joseph Sullivan Federal Ticaret Komisyonu şirketi daha önceki bir veri güvenliği olayıyla ilgili olarak araştırırken, 2016 yılındaki bir fidye yazılımı saldırısını örtbas ettikten sonra engellemeden suçlu bulundu.
2022’nin sonlarına doğru FTC, çevrimiçi içki pazarı ve Uber’in yan kuruluşu olan Drizly’ye şu talimatı verdi: veri güvenliği uygulamalarında reform yapın Şirketin ortamını güvence altına alamayınca 2020’de bir hackleme gerçekleşti. FTC ayrıca Drizly CEO’su James Rellas’a gelecekte taşınacağı herhangi bir şirkette bir veri güvenliği programı uygulamasını da emretti.
Şirketler artık SEC’in yeni olay açıklama gerekliliklerinin arkasında duracağını fark etmeye başlıyor. Avukatlara göre kurum, şirketlerin güvenlik risklerini yatırım camiasına nasıl sundukları konusunda şeffaf olmaları gerektiği mesajını veriyor.
SEC, yeni kurallar ve uygulama eylemleri aracılığıyla, “siber güvenliğin üst düzey yöneticilerin çoğunun dikkatini gerektirdiğini” açıkça ortaya koyuyor.” Eversheds Sutherland’ın küresel siber güvenlik ve veri gizliliği ortağı ve eşbaşkanı Michael Bahar şöyle konuştu:
“İkincisi SEC, açıklama konusunda hata yapmayan şirketlerin hatalı bulunma riskiyle karşı karşıya olduğu konusunda uyarıyor” dedi Bahar.
SolarWinds ise iddiaları şiddetle reddetti. Şirket, düzenleyici başvurularda ve yayınlanan bir blogdagüvenli geliştirme uygulamalarını benimsediğini söyledi ve tasarım gereği güvenli uygulamaların endüstri standartlarını yükseltmek için federal yetkililerle işbirliğine dayalı ilişkisine değindi.
SolarWinds CEO’su Sudhakar Ramakrishna blog yazısında “Şeffaf iletişime olan bağlılığımız müşterilerimizin ötesine geçerek tüm sektöre ve hükümet ortaklarımıza kadar uzandı” dedi. “Başkalarını daha güvenli hale getirmek için öğrendiklerimizi paylaşmak amacıyla, samimi bir şekilde ve sık sık konuşmayı kasıtlı olarak seçtik.”