Dolandırıcılık Yönetimi ve Siber Suç, Mevzuat ve Dava, Standartlar, Düzenlemeler ve Uyumluluk
SEC ‘Önerilen Belirli Uzlaşma Şartları’ Ancak Savunmanın Kabul Etmesi Muhtemel Değil, Hakim Söyledi
Michael Novinson (MichaelNovinson) •
13 Ağustos 2024
Federal düzenleyiciler ve SolarWinds, bir yargıcın şirketin siber güvenlik uygulamaları ve riskleri hakkında yatırımcıları yanılttığına dair iddiaların çoğunu reddetmesinin ardından haftalar sonra bir ateşkes yapmayı düşünüyor.
Ayrıca bakınız: Web Semineri | OT Sistemleri için Siber Dayanıklılığı ve Mevzuata Uygunluğu Geliştirme APAC
SolarWinds, CISO Tim Brown ve ABD Menkul Kıymetler ve Borsa Komisyonu, 5 Ağustos’ta Bölge Yargıcı Paul Engelmayer’e yazdıkları mektupta, “Mahkemenin, Davalıların Değiştirilen Şikayeti Reddetme Talebi hakkındaki 18 Temmuz 2024 tarihli kararının ardından, taraflar uzlaşma görüşmelerini sürdürmeyi görüştüler” dedi.
Uzlaşma müzakerelerinin ilerlemesi Pazartesi günü Engelmayer ile yapılan bir telekonferans sırasında daha ayrıntılı olarak ele alındı. SEC avukatı Christopher Bruckmann, ekibinin “belirli uzlaşma şartları önerdiğini” söyledi, Law360 bildirdi. Ancak SolarWinds ve Brown’ın hukuk danışmanı Sean Berkowitz, savunmanın ilk teklifi kabul etmesinin olası olmadığını ve üçüncü taraf bir arabulucunun müdahale etmesini önerdi.
Law360’a göre Berkowitz, Engelmayer’e “Teklifin içeriğine dayanarak, sürece yardımcı olması için birinin dahil olmasının yararlı olabileceğini düşünüyoruz” dedi. Berkowitz, uzlaşma müzakerelerine yardımcı olması için davayı bir sulh yargıcına havale etmekten mutluluk duyduğunu söyledi, Law360 bildirdi. SEC, Information Security Media Group’un yorum talebini reddetti ve SolarWinds ile Brown’ın avukatı yanıt vermedi (bkz: Hakim, SolarWinds’e Karşı SEC Dolandırıcılık İddialarının Çoğunu Reddetti).
Hakim SolarWinds ve Brown’a Yönelik İddiaları Nasıl Görüyor?
Brown için riskler yüksek, çünkü federal düzenleyiciler onu halka açık bir şirketin yöneticisi veya müdürü olarak görev yapmaktan kalıcı olarak men etmeye ve medeni para cezaları ve haksız kazançların iadesini uygulamaya çalışıyor. SEC personeli geçen yıl SolarWinds, Brown ve CFO Bart Kalsu’ya karşı federal menkul kıymetler yasalarını ihlal ettikleri gerekçesiyle yaptırım uygulanmasını önerdi, ancak Kalsu’nun adı şikayette yer almadı (bkz: SEC, SolarWinds ve CISO Tim Brown’ın Yatırımcıları Dolandırdığını İddia Ediyor).
Engelmayer, 18 Temmuz’da SEC’nin yalnızca SolarWinds tarafından Aralık 2020’de Rus Dış İstihbarat Servisi saldırısı kamuoyuna duyurulmadan önce yayınlanan güvenlik beyanıyla ilgili iddialarla devam edebileceğine karar verdi ve bir jürinin şirketin güvenlik beyanını önemli ölçüde yanlış veya yanıltıcı bulabileceğini belirledi. İddia, SolarWinds’in siber güvenlik risk ifşasındaki yanlış ifadelere odaklandı.
Özellikle, SolarWinds’in güvenlik beyanı güçlü erişim kontrolleri iddia ediyor, ancak SEC çalışanlara yaygın olarak idari haklar verilmesinin şirket içinde tanındığını ancak kamuya açıklanmadığını söyledi. Ayrıca, güvenlik beyanı sağlam parola uygulamaları iddia ediyor, ancak SEC şirketin basit ve şifrelenmemiş parolalar etrafındaki zayıf uygulamalarının şirket içinde belgelendiğini ancak kamuya açıklanmadığını buldu.
Engelmayer, SEC davasında adı geçen davalılardan biri olan Brown’un şirketin erişim kontrolleri ve parola politikalarındaki eksiklikleri bildiğini ve bunları şirket içinde kabul ettiğini ancak yine de yanıltıcı güvenlik bildiriminin SolarWinds’in web sitesinde kalmasına izin verdiğini söyledi. Brown bir şirket çalışanı olduğundan, yargıç SolarWinds’in de yanlış beyanlardan sorumlu olabileceğini söyledi.
“Brown, Güvenlik Beyanı’nın içeriğini yanlış ve yanıltıcı olarak çürüten önemli miktarda veri olduğunu biliyordu,” dedi Engelmayer. “Şirketin bununla tutarsız uygulamalarına rağmen, beyanın kamuoyuna açıklanmasına ve yıllarca yürürlükte kalmasına izin verme davranışı, makul bir şekilde ‘son derece mantıksız veya aşırı suistimal’ olarak savunulabilir.”
Bir Uzlaşma Neden Tüm Taraflara Fayda Sağlayabilir?
SEC’in SolarWinds ve Brown’a karşı açtığı dava, finansal düzenleyicilerin bir ihraççının siber güvenlik kusurlarına dayalı bir muhasebe kontrol iddiası getirdiği ilk sefer olarak emsal teşkil etti. Hukuk gözlemcileri, ISMG’ye Engelmayer’in güvenlik beyanı iddiasının devam etmesine izin vermesinin, bir karar verirken genellikle hükümet yetkililerinin uzmanlığına başvuran bir jüri nezdinde ağırlığı olacağını söyledi.
Aynı zamanda, emsal eksikliği, bir jürinin veya Engelmayer’in SolarWinds ve Brown’a karşı iddiaları ve önerilen SEC cezasını nasıl göreceği konusunda belirsizlik yaratıyor. Bir anlaşma, SolarWinds ve Brown’ın iddia edilen yanlışları için bazı sonuçlar sunuyor ve SEC’i davayı yargılama ve olası itirazlar boyunca görmekle ilişkili zaman ve masraftan kurtarıyor.
Engelmayer’in geçen ayki kararı, tüm taraflara bir uzlaşmanın kendi çıkarlarına olduğuna inanmaları için yeterli sebep verdi mi ve SolarWinds ve/veya SEC’yi taviz vermeye yöneltecek kadar belirsizlik yarattı mı?
Siber güvenlik sektörü, bu tarih yazan davanın kararla sonuçlanıp sonuçlanmayacağını yakından takip ediyor.