İlk saldırı çok eski olabilir ancak Menkul Kıymetler ve Borsa Komisyonu’ndaki (SEC) düzenleyiciler hâlâ 2020 SolarWinds ihlalinin ayrıntılarını inceliyor. Bu hafta SEC, dört şirkete, saldırının sistemleri üzerindeki etkisini en aza indirmeye yönelik kasıtlı bir çaba olduğunu tespit ettiği için suç duyurusunda bulunduğunu duyurdu.
Unisys, ifşa uygulamaları ve kontrol ihlalleri nedeniyle en büyük para cezasına (4 milyon dolar) çarptırıldı.
SEC’in ceza duyurusunda, “SEC’in Unisys’e karşı kararı, şirketin gigabaytlarca verinin sızmasını içeren SolarWinds ile ilgili iki izinsiz giriş yaşadığını bilmesine rağmen siber güvenlik olaylarından kaynaklanan risklerini varsayımsal olarak tanımladığını tespit ediyor” denildi. “Karar ayrıca, bu maddi yanıltıcı açıklamaların kısmen Unisys’in yetersiz açıklama kontrollerinden kaynaklandığını da tespit ediyor.”
Unisys, Dark Reading’in yorum talebine yanıt vermedi.
Avaya Holdings Corp., bir tehdit aktörünün şirketin o dönemde “sınırlı sayıda” şirket e-posta mesajı olarak tanımladığı şeye eriştiğini kabul eden ifadeleri için 1 milyon dolar ödemeyi kabul etti, ancak şirketin aynı zamanda 145 dosyanın da bu adreste bulunduğunun farkında olduğunu belirtmedi. SEC’e göre bulut ortamı da tehlikeye girdi.
Avaya da diğer ceza alan şirketler gibi yaptığı açıklamada şirketin bu konuyu sonlandırmaktan memnuniyet duyduğunu söyledi.
Yapılan açıklamaya göre, “2020 sonlarına kadar uzanan tarihi siber güvenlik sorunlarıyla ilgili bu ifşa meselesini SEC ile çözmüş olmaktan ve ajansın Avaya’nın gönüllü işbirliğini takdir etmesinden ve şirketin siber güvenlik kontrollerini geliştirmek için belirli adımlar atmış olmamızdan memnuniyet duyuyoruz.” Avaya’dan Dark Reading’e sağlandı. “Avaya, hem ürün ve hizmetlerimizi tasarlayıp değerli müşterilerimize sunmanın yanı sıra dahili operasyonlarımızda siber güvenlik programını güçlendirmeye odaklanmaya devam ediyor.”
Yazılım şirketine 995.000 dolar para cezası kesen SEC’e göre Check Point, açıklamalarında kasıtlı olarak muğlak davrandı. Check Point’in açıklaması şirketin ciddiyetle hareket ettiğini ancak yola devam etmekten memnun olduğunu belirtti.
“SEC’in duyurusu, Aralık 2023’ten itibaren 6-K’da tartıştığımız, 2020 SolarWinds Orion siber güvenlik açığına ilişkin uzlaşma tartışmalarımız ve bunun Check Point’in 2021 20-F Yıllık Raporunda rapor edilip edilmeyeceği sorusuyla aynı konuyla ilgilidir. Dosyalama,” Check Point beyanı okundu. “SEC’in emrinde belirtildiği gibi Check Point, SolarWinds olayını araştırdı ve herhangi bir müşteri verisine, koduna veya diğer hassas bilgilere erişildiğine dair kanıt bulamadı. Bununla birlikte Check Point, SEC ile işbirliği yapmanın ve anlaşmazlığı çözmenin kendi sorumluluğunda olduğuna karar verdi. en iyi çıkarı sağlar ve şirketin, müşterilerinin dünya çapındaki siber saldırılara karşı savunmasına yardımcı olmaya odaklanmasını sağlar.”
SEC, SEC’in, “tehdit aktörünün sızdırdığı kodun niteliğini ve tehdit aktörünün eriştiği şifrelenmiş kimlik bilgilerinin miktarını açıklamaması” nedeniyle Mimecast’e 990.000 dolar ödeyecek en hafif cezayı verdiğini söyledi.
Mimecast yaptığı açıklamada şirketin şeffaf davrandığını ve artık SEC yetkisi altında halka açık bir şirket olmadığını ancak yine de SEC yaptırımlarına uymaya devam edeceğini söyledi.
Mimecast açıklamasında, “Mimecast, 2021’deki olaya yanıt verirken kapsamlı açıklamalarda bulundu ve müşterilerimiz ve iş ortaklarımızla, hatta etkilenmemiş olanlar bile, proaktif ve şeffaf bir şekilde iletişim kurdu.” ifadesine yer verildi. “O dönemdeki düzenleyici gerekliliklere dayalı açıklama yükümlülüklerimize uyduğumuza inanıyorduk. Olaya müdahale ederken, Mimecast dayanıklılığımızı artırma fırsatını değerlendirdi. Mimecast artık halka açık bir şirket olmasa da tam bir işbirliği yaptık ve Bu konuyu SEC ile kapsamlı bir şekilde geride bırakarak müşterilerimize hizmet etmeye olan güçlü odaklanmamızı sürdürmeye karar verdik.”
SEC Belirsiz Veri İhlali Açıklamalarını Engellemeye Çalışıyor
SEC, suçlamaların ve müteakip para cezalarının amacının, diğer şirketleri bir ihlalin ardından aynı “yarı gerçek” iletişim yaklaşımını benimsemekten caydırmak olduğunu açıkladı.
Kripto Varlıklar ve Siber Birim başkan vekili Jorge G. Tenreiro yaptığı açıklamada, “Maddi bir siber güvenlik ihlalinin boyutunu küçümsemek kötü bir stratejidir” dedi. “Bu vakalardan ikisinde, ilgili siber güvenlik risk faktörleri, şirketlerin risklere ilişkin uyarıların zaten gerçekleştiğini bildiği durumlarda varsayımsal veya genel olarak çerçevelendi.”
Siber güvenlik avukatına göre şirketlerin SEC’in bu yaptırım eyleminden alması gereken ders, düzenleyicilerin teknik açıdan kesin açıklamalar aradığıdır. Beth Burgin Waller.
“Şirketler artık genellemelere veya varsayımlara güvenemez” diye ekliyor. “Birçok şirket için zorluk, daha sonraki veri ihlali toplu davaları veya müşteri davaları da dahil olmak üzere, ligasyon sonrası riski her açıdan düşünmek olacaktır.”
Burgin Waller, bu yeni kurumsal siber güvenlik alanının, baş bilgi güvenliği görevlilerinin hukuk ekipleriyle daha yakın çalışmasını gerektireceğini söylüyor.
“SEC, gelecekteki bir davada işletmeye geri gönderilecek olan bir olay soruşturmasında ayrıntıların çok erken bir zamanda açıklanmasını zorlayarak birçok şirket için olay sonrasında gerilim yaratıyor” diye ekliyor. “CISO’ların, özellikle bu uygulama duyurularında şirketlerin gerektirdiği teknik hassasiyet ışığında, SEC siber olay önemlilik tespitleri konusunda kurum içi ve şirket dışı danışmanlarla yakın çalışmaya hazırlıklı olmaları gerekiyor.”