Mevzuat ve Dava, Standartlar, Düzenlemeler ve Uyumluluk
SEC, Brown’un Halka Açık Şirkette Yönetici ve Yönetici Olarak Hizmet Vermesini Yasaklamayı İstiyor
Michael Novinson (MichaelNovinson) •
30 Ekim 2023
Federal düzenleyiciler, yatırımcıları şirketin siber güvenlik uygulamaları ve riskleri konusunda yanılttığı iddiasıyla SolarWinds ve CISO Tim Brown’u dolandırıcılık ve iç kontrol başarısızlıklarıyla suçladı.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Menkul Kıymetler ve Borsa Komisyonu, Austin, Teksas merkezli satıcı ve üst düzey güvenlik yetkilisinin, SolarWinds’in siber güvenlik uygulamalarındaki belirli sorunları bilmelerine rağmen yalnızca genel ve varsayımsal riskleri açıkladığını söyledi. İddia edilen suiistimal, şirketin Ekim 2018 halka arzından Aralık 2020’de Orion ağ izleme ürününün tehlikeye girdiğini duyurmasına kadar gerçekleşti.
Rusya Dış İstihbarat Servisi’nden hackerlar şirketin Orion güncellemelerine sızarak dokuz federal kurum da dahil olmak üzere yüksek değerli müşteriler hakkında casusluk yapmalarına olanak sağladı.
SEC, New York’un Güney Bölgesi’nde sunulan bir şikayette, “Yanlış beyanlar, ihmaller ve planlar, şirketin zayıf siber güvenlik uygulamalarını ve artan ve artan siber güvenlik risklerini gizledi” dedi.
Şikayette, “SolarWinds’in siber güvenlik uygulamaları ve riskleri hakkındaki kamuya açık beyanları, şirketin siber güvenlik politikası ihlalleri, güvenlik açıkları ve siber saldırıları hakkındaki şirket içi tartışmalardan ve değerlendirmelerden tamamen farklı bir tablo çizdi” ifadesine yer veriliyor.
Federal düzenleyiciler, Brown’un halka açık bir şirkette memur veya yönetici olarak görev yapmasını, hukuki para cezaları ve haksız kazançların iadesi ile birlikte kalıcı olarak yasaklamayı amaçlıyor. Haziran ayında SEC personeli, federal menkul kıymetler yasalarını ihlal ettiği iddiasıyla SolarWinds, Brown (59) ve CFO Bart Kalsu (55) hakkında yaptırım uygulanmasını önerdi. Pazartesi günü yapılan resmi SEC şikayetinde Kalsu’nun adı yer almıyordu (bkz: SEC, SolarWinds CFO’su ve CISO’nun ABD Menkul Kıymet Yasalarını İhlal Ettiğini İddia Ediyor).
SolarWinds’in hisseleri Pazartesi günü mesai sonrası işlemlerde sadece 0,01 $ veya %0,1 düşüşle hisse başına 9,30 $’a geriledi. SolarWinds için düzenleyici sorunların ilk işaretleri Ekim 2022’de SEC’in SolarWinds’in siber güvenlik açıklamaları ve kamuoyuna açıklamalarının yanı sıra iç kontrolleri ve açıklama kontrolleri ve prosedürleriyle ilgili olarak federal menkul kıymetler yasalarını ihlal ettiğini söylemesiyle ortaya çıktı (bkz.: SolarWinds, Hack Açıklaması Nedeniyle SEC Soruşturmasıyla Karşı Karşıya Olabilir).
SEC, 2011’den bu yana menkul kıymetler yasasını şirketleri riskleri ve olayları bildirmeye zorunlu kılacak şekilde yorumluyor ve 2018’de bu rehberini güçlendirdi. Eleştirmenler, açıklamaların genellikle siber uzaydaki gerçek zorluklar hakkında çok az şey ortaya koyan çerez kesici ifadeler olduğunu söylüyor.
SolarWinds ve Brown İddiaları Zorla Reddetti
SolarWinds CEO’su Sudhakar Ramakrishna Pazartesi günü bir blogda şirketin yüksek profilli Rus yazılım tedarik zinciri saldırısını keşfetmeden önce yeterli siber güvenlik kontrollerini sürdürdüğünü ve SEC’in bu eylemine şiddetle karşı çıkacağını yazdı. Ramakrishna daha önce Pulse Secure’un CEO’suydu ve şirketin büyük saldırıyı öğrenmesinden sadece birkaç gün sonra önceden planlanmış bir geçişle SolarWinds’in CEO’su oldu.
Ramakrishna, “SEC’in suçlamaları artık siber güvenlik uzmanlarının kolektif güvenliğimiz için gerekli olduğu konusunda hemfikir olduğu sektör genelinde açık bilgi paylaşımını riske atıyor. Ayrıca ülke genelinde ciddi siber güvenlik profesyonellerinin haklarından mahrum bırakılması riskini de taşıyor” dedi. “Bu eylemlerin kamu-özel ortaklıklarının büyümesini ve daha geniş bilgi paylaşımını engelleyerek hepimizi daha da savunmasız hale getireceğinden endişe ediyorum.”
Bir şirket sözcüsü de benzer temaları yineleyerek Bilgi Güvenliği Medya Grubu’na şunları söyledi: “SEC’in bize ve CISO’muza karşı bir iddiada bulunma kararlılığı, ajansın aşırı müdahalesinin bir başka örneğidir ve ülke çapındaki tüm kamu şirketlerini ve kararlı siber güvenlik profesyonellerini alarma geçirmelidir.”
Brown, King & Spalding tarafından temsil ediliyor ve avukat Alec Koch, ISMG’ye Brown’un sorumluluklarını “gayretle, dürüstlükle ve ayrıcalıkla” yerine getirdiğini söylüyor.
Brown, şirkete katıldığı Temmuz 2017’den bu yana SolarWinds’in dahili BT güvenliği, ürün güvenliği ve güvenlik stratejisinden sorumluydu ve Ocak 2021’de CISO’ya terfi etti. Bundan önce, güvenlik açığı risk yönetimi sağlayıcısında beş yıl baş ürün sorumlusu olarak görev yaptı. NopSec ve dört yıl boyunca Dell’in güvenlikten sorumlu genel müdürü olarak görev yaptı ve portföyü bütünsel bir bakış açısıyla inceledi.
SEC, Kırmızı Bayrakların Toplandığını Ancak Hiçbir Zaman Açıklanmadığını Söyledi
SEC, SolarWinds’in güvenlik sorunlarının, Brown ile paylaşılan bir sunumda bir ağ mühendisinin şirketin uzaktan erişim kurulumunun “pek güvenli olmadığı” konusunda uyardığı en az Haziran 2018’e kadar uzandığını söyledi. biz fark etmeden her şeyi çok geç olana kadar yapın”, bu da SolarWinds için “büyük bir itibar ve mali kayba” yol açabilir.
Ekim 2018’de, yani SolarWinds’in yalnızca genel ve varsayımsal siber güvenlik riski açıklamalarını içeren bir kayıt bildirimi sunduğu aynı ayda Brown, şirket içi bir sunumda SolarWinds’in “mevcut güvenlik durumunun bizi kritik varlıklarımız açısından çok savunmasız bir durumda bıraktığını” yazdı. Daha sonra Ağustos 2019’da Brown bir sunumda “kritik sistemlere/verilere erişim ve ayrıcalığın uygunsuz olduğunu” yazdı.
SEC’e göre şirketin mühendislik ekibinin bir üyesi, Temmuz 2020’de Brown’a gönderilen bir e-postada, bir SolarWinds müşterisindeki faaliyetten “korktuğunu” açıkladı. Brown, olayın “son derece endişe verici” olduğunu kabul etti ve astlarına şunları söyledi: “Bildiğiniz gibi, arka uçlarımız o kadar dayanıklı değil ve onları kesinlikle daha iyi hale getirmeliyiz.”
İki ay sonra, SolarWinds’in mühendislik ekibinden bir yönetici, Brown ve diğerlerine “Orion Platformundaki eski sorunların riskini” işaretleyen ve “geçen ay tespit edilen güvenlik sorunlarının hacminin, önceki ayları geride bıraktığı” konusunda uyarıda bulunan bir risk kabul formu sundu. Mühendislik ekiplerinin çözme kapasitesi.”
Ekim 2020’de SolarWinds’in kıdemli bir bilgi güvenliği yöneticisi, şirketin siber güvenlik duruşundan duyduğu tiksintiyi bir anlık mesajla şöyle ifade etti: “Güvenlik odaklı bir şirket olmaktan çok uzağız. Ne zaman baş meraklılarımızın güvenlik hakkında konuştuğunu duysam, şunu istiyorum: kusmak.”
SEC Uygulama Bölümü Direktörü Gurbir Grewal, “SolarWinds ve Brown, bu güvenlik açıklarını ele almak yerine, şirketin siber kontrol ortamı hakkında yanlış bir resim çizmek ve böylece yatırımcıları doğru maddi bilgilerden mahrum bırakmak için bir kampanyaya giriştiler” dedi. Şirketleri “risk ortamlarınıza göre ayarlanmış güçlü kontroller uygulamaya ve bilinen endişeler konusunda yatırımcılarla aynı seviyede olmaya” çağırdı.