ABD’li bir yargıç, Menkul Kıymetler ve Borsa Komisyonu’nun, Rusya bağlantılı ve ABD hükümetini hedef alan bir siber saldırının öncesinde ve sonrasında güvenlik zayıflıklarını gizleyerek yatırımcıları dolandırdığı iddiasıyla SolarWinds yazılım şirketini açtığı davanın büyük bölümünü reddetti.
ABD Manhattan Bölge Yargıcı Paul Engelmayer, SolarWinds ve bilgi güvenliği sorumlusu Timothy Brown’a yönelik saldırıdan sonra yapılan açıklamalar nedeniyle yöneltilen tüm iddiaları reddederek, iddiaların “sonradan edinilen bilgilere ve spekülasyonlara” dayandığını söyledi.
Hakim, 107 sayfalık kararında, SolarWinds’in web sitesinde şirketin güvenlik kontrollerini öven bir açıklamaya dayalı menkul kıymetler dolandırıcılığı iddiaları hariç, saldırıdan önceki açıklamalara ilişkin SEC iddialarının çoğunu reddetti.
SEC yorum yapmayı reddetti.
SolarWinds, karardan memnun olduklarını belirterek, şirkete karşı açılan davanın geri kalanını “gerçeklere dayanmayan” bir dava olarak nitelendirdi.
Brown’ın avukatları yorum taleplerine hemen yanıt vermedi.
Sunburst olarak bilinen ve yaklaşık iki yıldır devam eden siber saldırı, ABD hükümet ağlarına sızmak için şirketin amiral gemisi yazılım platformu Orion’u kullanarak Austin, Teksas merkezli SolarWinds’i hedef aldı.
Aralık 2020’de saldırı ortaya çıkmadan önce Ticaret, Enerji, İç Güvenlik, Dışişleri ve Hazine Bakanlıkları da dahil olmak üzere birçok ABD kurumu tehlikeye atılmıştı.
Tam sonuçları henüz bilinmiyor ve ABD hükümeti, Rusya’nın saldırıyı muhtemelen düzenlediğini söyledi. Rusya, sorumluluğu reddetti.
SEC’in geçen ekim ayında açtığı dava, düzenleyicinin eş zamanlı bir anlaşma duyurmadığı bir siber saldırıya maruz kalan bir şirketi hedef alan ilk dava gibi görünüyor.
Ayrıca SEC’in, Brown gibi mali tabloların hazırlanmasında yakından yer almayan halka açık şirket yöneticilerine dava açması da nadir görülen bir durumdur.
SEC, SolarWinds’in saldırıdan önce ürünlerinin siber güvenliğini gizlediğini ve saldırının meydana gelmesinin ardından da saldırının ciddiyetini küçümsediğini iddia etti.
Ayrıca SolarWinds’in müşterilerini Orion’u ilgilendiren kötü niyetli faaliyetler konusunda nasıl uyardığını gizlediği belirtildi.
Ancak yargıç, dolandırıcılık karşıtı yasaların, risk uyarılarının “maksimum düzeyde ayrıntı” içermesini gerektirmediğini, bu sürecin siber saldırganlara istismar edebilecekleri ekstra bilgiler sağlaması durumunda ters tepebileceğini söyledi.
Engelmayer ayrıca SolarWinds’in her siber saldırıyı önlemesinin beklenemeyeceğini ve bireysel olayları ifşa etme yükümlülüğünün bulunmadığını kabul ettiğini söyledi.
Hakim, “Bunların olasılığının ne yazık ki hayatın bir gerçeği olduğu zaten ortaya çıktı” diye yazdı.