3. Taraf Risk Yönetimi , Yönetişim ve Risk Yönetimi , Standartlar, Düzenlemeler ve Uyum
Bart Kalsu ve Tim Brown Parasal Cezalarla Karşı Karşıya Olabilir, Halka Açık Şirket Memuru Ban
Micheal Novinson (Michael Novinson) •
23 Haziran 2023
Menkul Kıymetler ve Borsa Komisyonu, SolarWinds CFO’su Bart Kalsu ve CISO Tim Brown’ı 2020’de yüksek profilli bir yazılım tedarik zinciri siber saldırısına yanıt olarak menkul kıymetler yasalarını ihlal etmekle suçladı.
Ayrıca bakınız: VMware Carbon Black Uygulama Kontrolü
Austin, Teksas merkezli BT altyapı yönetimi satıcısı, Cuma günü geç saatlerde Kalsu ve Brown’ın, Rusların Orion ağ izleme ürününü hacklemesine yanıt verme rolleri nedeniyle SEC tarafından hedef alınan “belirli mevcut ve eski yönetici memurlar ve çalışanlar” arasında olduğunu açıkladı. SEC personeli, her birey için federal menkul kıymetler yasalarının ihlal edildiği iddiasıyla bir hukuk davası açılmasını tavsiye ediyor.
SEC yaptırım işlemine devam ederse, Kalsu, Brown veya diğerleri para cezasına çarptırılabilir veya halka açık bir şirketin memuru veya yöneticisi olarak görev yapmalarını yasaklayan bir emirle karşı karşıya kalabilir. SolarWinds, bir hissedar başvurusunda, açıklamalarının, kamu açıklamalarının, kontrollerinin ve prosedürlerinin uygun olduğunu ve herhangi bir yaptırıma karşı kendisini güçlü bir şekilde savunmayı planladığını söyledi.
Bir şirket sözcüsü, Information Security Media Group’a “SEC tarafından şirketimiz ve memurlarımız aleyhine suçlamalara doğru ilerliyor gibi görünen uzun bir soruşturma sürecinde işbirliği yapıyoruz” dedi. “Potansiyel herhangi bir eylem, siber olay ifşası üzerinde caydırıcı bir etki yaratarak tüm sektörü daha az güvenli hale getirecektir.”
Ekim ayında SEC, SolarWinds’in siber güvenlik açıklamaları ve kamuoyu açıklamalarının yanı sıra dahili kontrolleri ve açıklama kontrolleri ve prosedürleriyle ilgili olarak federal menkul kıymetler yasalarını ihlal ettiğini iddia etti. Ancak SolarWinds, Cuma gününe kadar SEC personelinin şirketteki belirli kişilere karşı yaptırım yetkisi verilmesini tavsiye ettiğini açıklamadı (bakınız: SolarWinds, Hack İfşasıyla İlgili SEC Soruşturmasıyla Karşı Karşıya Olabilir).
Kalsu, Brown ve SolarWinds bünyesindeki diğer kişiler, SEC personelinden herhangi birini resmi olarak görevi kötüye kullanmakla suçlamaktan vazgeçen ve kişinin veya şirketin ön personel belirlemesine itiraz etmesine izin veren bir “Kuyu Bildirimi” aldı. Ne Kalsu ne de Brown, ISMG’nin yorum talebine hemen yanıt vermedi.
“Potansiyel herhangi bir eylem, siber olay ifşası üzerinde caydırıcı bir etki yaratarak tüm sektörü daha az güvenli hale getirecektir.”
– SolarWinds sözcüsü
SEC, 2011’den beri menkul kıymetler yasasını şirketleri riskleri ve olayları bildirmeye zorunlu kılacak şekilde yorumladı ve 2018’de bu kılavuz güçlendirildi. Eleştirmenler, ifşaların tipik olarak siber uzaydaki gerçek zorluklar hakkında çok az şey ortaya koyan çerez kesici ifadeler olduğunu söylüyor. Bu yılın başlarında SEC, maddi siber güvenlik olayları hakkında güncel raporlamayı zorunlu kılmak için ikinci bir revizyon önerdi.
Mevcut, Eski SolarWinds CEO’ları SEC Hedefleri Olarak Belirtilmemiş
SolarWinds, Rus dış istihbarat servisinin şirketin Orion yazılım güncelleyicisine bir Truva atı enjekte etmesinden bu yana CEO’ları değiştirdi ve eski Pulse Secure CEO’su Sudhakar Ramakrishna 2021’de CEO olarak göreve başladı. Saldırı sırasında CEO Kevin Thompson’dı. Sürekli test satıcısı Tricentis’in CEO’su. SolarWinds, Ramakrishna veya Thompson’ın bir Wells Bildirimi aldığını belirtmedi.
55 yaşındaki Kalsu, SolarWinds’e Ağustos 2007’de finans başkan yardımcısı olarak katıldı ve Nisan 2016’da mevcut görevine terfi etti. Daha önce iki yıl JPMorgan Chase’in ticari bankacılık başkan yardımcısı ve üç yıl Red Hat’ta finanstan sorumlu kıdemli direktör olarak görev yaptı. Kalsu daha önce EP Energy ve Athlon Energy’nin yönetim kurullarında görev almıştı.
Brown, Temmuz 2017’de CISO ve güvenlikten sorumlu başkan yardımcısı olarak şirkete katıldığından beri SolarWinds’in dahili BT güvenliği, ürün güvenliği ve güvenlik stratejisinden sorumlu. Dell’in güvenlikten sorumlu yönetici direktörü olarak dört yıl görev yaptı ve burada portföyü dahili ve harici bir bakış açısıyla inceledi.
Ramakrishna Kasım ayında ISMG’ye SolarWinds’in son yıllarda şirketin kaynak kodunun bütünlüğünü doğrulayan ve nitelendiren kapsamlı çalışma testleri yaptığını söyledi. Şirketin, statik kod analizi, kalem testi ve açık kaynak güvenlik açıklarını daha iyi anlama yoluyla şirketin oluşturma sürecini güvence altına alma çabalarını tamamlamak için SOC yeteneklerini ve red-teaming programlarını hızlandırdığını söyledi (bkz:: SolarWinds CEO’su Yazılım Oluşturma Sürecini Nasıl Güvenli Hale Getireceğiniz Konusunda).
Ramakrishna, Kasım 2022’de ISMG’ye “SolarWinds’in imajı oldukça sert ve dramatik bir şekilde gelişti.” ve çevrelerinde kullandığımız teknikleri uygulamak isteyen diğerleri.”