Siber saldırılarla karşı karşıya kalan halka açık şirketlerin açıklamalarında dürüst olması gerekiyor, aksi takdirde sonuçları ihlalin kendisinden daha ağır olabilir. Menkul Kıymetler ve Borsa Komisyonu (SEC), dört şirkete (Unisys Corp., Avaya Holdings Corp., Check Point Software Technologies Ltd ve Mimecast Limited) maddi yanıltıcı siber açıklamalar ve kamuya yönelik açıklamalar yaptıkları için para cezası verirken, bu mesaj yüksek ve net bir şekilde duyuldu. SolarWinds saldırısı nedeniyle karşılaştıkları siber güvenlik olayları.
Yanıltıcı Siber İfşalar Cezalara Yol Açıyor
SEC’in araştırması, bu şirketlerin, federal kurumlar da dahil olmak üzere çok sayıda kuruluşu etkileyen büyük bir siber casusluk kampanyası olan kötü şöhretli SolarWinds Orion yazılım hackiyle ilgili ihlallerin boyutunu yanlış beyan ettiğini ortaya çıkardı. SEC, her firmanın ya saldırının ciddiyetini en aza indirdiğini ya da kritik bilgileri açıklamayı başaramadığını, bunun da yatırımcıları saldırının gerçek kapsamı konusunda karanlıkta bıraktığını tespit etti.
Unisys Corp., hem yanıltıcı açıklamalar hem de kamuoyuna yaptığı açıklamalar üzerinde uygun kontrolleri sürdürememe nedeniyle 4 milyon dolarlık bir cezayla karşı karşıya kalarak en ağır darbeyi aldı. Bu arada Avaya, Check Point ve Mimecast’in her biri benzer ihlallerden dolayı yaklaşık 1 milyon dolar para cezasına çarptırıldı. Tüm
Ayrıca şunu okuyun: SolarWinds’in CISO’su, Siber Güvenlik Aldatmacası Nedeniyle SEC Dolandırıcılık Suçlamalarıyla Karşı Karşıya
Siber Güvenlik İhlallerini Önemsememenin Tehlikeleri
SEC’in emirleri, Unisys, Avaya ve Check Point’in 2020 gibi erken bir tarihte, karmaşık bir tehdit aktörünün sistemlerine SolarWinds aracılığıyla eriştiğinin farkında olduklarını ortaya koyuyor. Mimecast 2021’de kendisinin de güvenliğinin ihlal edildiğini öğrendi. Ancak bu şirketlerin her biri, aksinin doğru olduğunu bilmelerine rağmen, siber risklerinin “varsayımsal” veya kapsam açısından sınırlı olduğunu öne süren kamuoyuna açıklamalarda bulundu.
Örneğin Unisys, gigabaytlarca çalınan veriyi içeren iki ayrı ihlalden haberdar olmasına rağmen kamuya açık dosyalarında riski küçümsedi. Avaya, yalnızca birkaç e-posta mesajına erişildiğini iddia ederek olayı en aza indirdi, oysa gerçekte bulut dosya paylaşım sistemindeki 145 dosyanın da güvenliği ihlal edilmişti. Benzer şekilde Check Point, ihlalin gerçek etkisini ele almak yerine siber riskler hakkında genel terimlerle konuşmayı tercih etti.
SEC ‘Yarı Gerçeklere’ Karşı Uyardı
Kripto Varlıklar ve Siber Birim başkan vekili Jorge G. Tenreiro, “Maddi bir siber güvenlik ihlalinin boyutunu küçümsemek kötü bir stratejidir” diye uyardı. SEC’in bulguları, bu şirketlerin siber güvenlik risk faktörlerini ya varsayımsal olarak çerçevelediklerini ya da risklerin zaten gerçekleştiğini bildikten sonra bile bunları genel terimlerle tartıştıklarını ortaya çıkardı.
SEC, federal menkul kıymet yasalarının, özellikle risk faktörü açıklamalarında “yarı gerçekleri” yasakladığını kaydetti ve siber güvenlik ihlalleriyle ilgili yanıltıcı ifadelere tolerans gösterilmeyeceğini açıkça belirtti.
SEC’in Eyleminin Etkisi
SEC’in yaptırım eylemi, başta siber güvenlik ve teknoloji sektörleri olmak üzere farklı sektörlerdeki şirketler için kritik bir uyandırma çağrısı görevi görmelidir. Özellikle ulus devlet aktörlerinin ve karmaşık kötü amaçlı yazılım kampanyalarının dahil olduğu olaylar artmaya devam ederken, siber risklerle ilgili açık ve dürüst iletişim ihtiyacı abartılamaz.
Şirketler muhtemelen üst düzey yöneticilerin ve yönetim kurullarının siber riskler konusunda tam olarak bilgilendirilmesini sağlayacak şekilde olay raporlamaya yönelik güçlü dahili süreçlere sahip olmak isteyecektir. Bu standardın gerisinde kalan şirketler yalnızca düzenleyici tedbirleri riske atmakla kalmaz, aynı zamanda yatırımcılar ve müşteriler nezdindeki güvenilirliğini de kaybeder.
Ayrıca şunu okuyun: Federal Yargıç, SEC’in SolarWinds’e Karşı Açtığı Davadaki Büyük İddiaları Reddetti
Açıklama Kontrollerinin Rolü
SEC’in soruşturmasında öne çıkan önemli sorunlardan biri Unisys’teki ifşa kontrollerinin başarısızlığıydı. SEC, Unisys’in kamuoyuna yaptığı açıklamaların siber olayların gerçekliğini doğru şekilde yansıtmasını sağlayacak yeterli sistemlere sahip olmadığını tespit etti.
Bu durum, kuruluşların siber güvenlik olaylarını doğrudan mali dosyalarına bağlayan güçlü açıklama çerçeveleri oluşturma yönünde artan bir beklentiyi gösteriyor. Siber güvenlik artık kurumsal yönetim ve uyumluluktan ayrı bir konu olarak ele alınamaz. Bu alanların hizalanmaması ciddi cezalara ve kalıcı itibar kaybına neden olabilir.
İşbirliği Cezaları Önlemez
Dört şirketin tamamı SEC’in soruşturmasında işbirliği yaptı ve siber güvenlik kontrollerini geliştirmek için adımlar attı ancak bu, onları mali cezalardan muaf tutmadı. SEC’e göre, her şirketin işbirliği soruşturmanın hızlandırılmasına yardımcı oldu, ancak bu durum şirketlerin kamuoyuna yanıltıcı açıklamalarda bulunduğu gerçeğini hafifletmedi.
Yaptırım eylemi, bilgileri gönüllü olarak açıklayan veya soruşturmalarda tam işbirliği yapan şirketlerin bile şeffaflığı korumamaları durumunda cezalarla karşı karşıya kalabileceklerini açıkça ortaya koyuyor.
Sanjay Wadhwa, “Bugünkü yaptırım eylemlerinin de yansıttığı gibi, halka açık şirketler siber saldırıların hedefi haline gelse de, karşılaştıkları siber güvenlik olayları hakkında yanıltıcı açıklamalar sunarak hissedarlarını veya yatırım yapan halkın diğer üyelerini daha fazla mağdur etmemeleri gerekiyor” dedi. SEC’in İcra Dairesi’nin direktör vekili.
Siber Güvenlik Açıklamalarının Geleceği
İleriye dönük olarak SEC’in eylemleri, şirketlerin siber riskleri ve ihlalleri nasıl açıklayacağına yönelik düzenleyici odağın artacağını gösteriyor. SolarWinds saldırısı, diğer yüksek profilli olaylarla birlikte, siber saldırıların yalnızca teknik hasar açısından değil, aynı zamanda düzenleyici ve yasal sonuçlar açısından da ne kadar yıkıcı olabileceğini gösterdi.
Kamu şirketleri, özellikle de teknoloji ve finansal hizmetler gibi kritik sektörlerdeki şirketler, siber güvenlik duruşlarını nasıl ilettikleri konusunda daha fazla inceleme beklemelidir. Küresel siber tehditler daha karmaşık hale geldikçe ve yatırımcılar daha fazla şeffaflık talep ettikçe baskı muhtemelen artacaktır.