Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Mevzuat ve Dava
Menkul Kıymetler ve Borsa Komisyonu’nun Siber Güvenlik İddialarını ‘Temelsiz’ Olarak Çağırdı
Mathew J. Schwartz (euroinfosec) •
29 Ocak 2024
Ağ izleme yazılımı satıcısı SolarWinds, siber güvenlik kontrollerinin etkinliğini yanlış beyan ettikleri iddiasının ardından şirketi ve CISO’sunu menkul kıymet dolandırıcılığıyla suçlayan federal bir davayı reddetmek için harekete geçti.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
Austin, Texas merkezli SolarWinds, Cuma günkü duruşmasında, Menkul Kıymetler ve Borsa Komisyonu tarafından geçen Ekim ayında sunulan suçlamaların “eşi benzeri görülmemiş olduğu kadar temelsiz” olduğunu belirtti ve “kurbanı yeniden mağdur etmemesi” için “temelden kusurlu” davanın reddedilmesi yönünde harekete geçti. bir Rus istihbarat hackleme kampanyası.
SolarWinds bir mahkeme dosyasında şunları söyledi: “SEC, şirketlerin siber güvenlik programları hakkında açıklama yapması gerekenler konusunda hedef direklerini adil olmayan bir şekilde değiştirmeye çalışıyor ve kontrol ücretleri ile kurumun sahip olmadığı programları düzenleme yetkisi talep ediyor.”
Federal düzenleyiciler Ekim ayında SolarWinds ve CISO Tim Brown’a dolandırıcılık ve iç kontrol başarısızlıkları nedeniyle dava açmış, yatırımcıları şirketin “ciddi siber güvenlik eksiklikleri” ve bunun sonucunda yaklaşık 300.000 müşteriye sahip olan işletmenin karşı karşıya olduğu riskler konusunda yanılttıklarını iddia etmişti. Aralık 2020’de açıklanan bir olayda Rusya Dış İstihbarat Teşkilatı’ndan bilgisayar korsanları, SolarWinds Orion ağ izleme ürününe yönelik güncellemelere sızarak dokuz federal kurum da dahil olmak üzere yüksek değerli müşteriler hakkında casusluk yapmalarına olanak tanıdı.
Hükümet, şirketi ve Brown’u belirli güvenlik sorunlarını bilmelerine rağmen yalnızca genel ve varsayımsal riskleri açıklamakla suçladı. SEC, Brown’un halka açık bir şirkette yönetici veya yönetici olarak görev yapmasını kalıcı olarak yasaklamayı ve hukuki para cezaları uygulamayı ve haksız elde edilen kazançların iadesini talep etmeyi amaçlıyor (bkz: SEC, SolarWinds ve CISO Tim Brown’ın Yatırımcıları Dolandırdığını İddia Ediyor).
Bu SEC davası, düzenleyicinin ilk kez bir kişiyi siber güvenlik eksiklikleri iddiasıyla suçladığı için birden fazla cephede yakından izleniyor (bkz: CISO’lar SolarWinds SEC İddialarına Neden Dikkat Etmeli?).
Reddetme talebini desteklemek amacıyla, SolarWinds’in savunma avukatı Cuma günü ABD Bölge Yargıcı Paul A. Engelmayer’e şirketin siber güvenlik olayına müdahale planını delil olarak ancak mühürlü olarak sunabilmesi için dilekçe verdi.
Latham & Watkins LLP’de avukat olarak görev yapan savunma avukatı Serrin Turner, bir mahkeme dosyasında “SolarWinds’in gelecekteki bir tehdit aktörü tarafından istismar edilebilecek olay müdahale planının hassas doğası göz önüne alındığında, mühürlemenin gerekli olduğunu” söyledi.
Hükümetin yanıt verme şansı olacak.
Brown, Temmuz 2017’den Aralık 2020’ye kadar SolarWinds’in güvenlik ve mimariden sorumlu başkan yardımcısı ve bilgi güvenliği grubunun başkanı olarak görev yaptı ve şirketin genel siber güvenlik programına liderlik etmenin yanı sıra ürünlerinin güvenlik mimarisini denetledi. 2021 yılında şirketin CISO’su oldu.
İddia edilen suiistimal dönemi, şirketin Ekim 2018’deki ilk halka arzıyla başladı ve şirketin, Orion’un Rusya’nın Dış İstihbarat Servisi’ne atfedilen Sunburst adı verilen ciddi bir tedarik zinciri hackinin parçası olarak hedef alındığı konusunda uyardığı en az Aralık 2020’ye kadar sürdü. SVR.
SEC, New York’un Güney Bölgesi’nde yaptığı şikayette, “SolarWinds’in siber güvenlik uygulamaları ve riskleri hakkındaki kamuya açık açıklamalarının, şirketin siber güvenlik politikası ihlalleri, güvenlik açıkları ve siber saldırıları hakkındaki dahili tartışma ve değerlendirmelerden tamamen farklı bir tablo çizdiğini” iddia ediyor.
SEC’in, SolarWinds yöneticilerinin “SolarWinds’in siber güvenlik uygulamalarının, kontrollerinin ve risklerinin gerçek durumunu” bilerek yanlış beyan ettiği iddiasını desteklemek için öne sürdüğü kanıtlar arasında mühendislik ekipleri, güvenlik ekipleri ve şirketin güvenli geliştirme yaşam döngüsündeki eksikliklerle ilgili ayrıntılı bilgi veren diğerlerinin yer aldığı tartışmalar yer alıyordu. veya bunların eksikliği. SEC ayrıca, güvenlik açığı yönetimi ve ağ güvenliği endişelerine odaklanan şirket içi tartışmalara ve diğer konumların yanı sıra, birçoğu “yapılandırma dosyalarında düz metin olarak saklanan” oturum açma kimlik bilgileri kullanılarak korunan, zayıf korunan eski hesapların çoğunluğuna odaklanan şirket içi tartışmalara da değindi.
SEC ayrıca SolarWinds’in, ürünlerinden birinde Mayıs 2020’de bir ABD devlet kurumunu etkileyen güvenlik açıklarını hedef alan saldırı ile Ekim 2020’de bir siber güvenlik firmasını etkileyen saldırı arasında benzerlikler gördüğünü iddia etti, ancak siber güvenlik tarafından bu konuda özel olarak sorulduğunda herhangi bir benzerlik gördüğünü reddetti. firma.
Sunburst kampanyası, başka bir müşteri olan ve artık Trellix’in bir parçası olan siber güvenlik firması FireEye’nin SolarWinds’in Orion platformu aracılığıyla tehlikeye atıldığını kamuoyuna duyurması sayesinde gün ışığına çıktı.
Cuma günü yapılan bir mahkeme dosyasında SolarWinds, SEC’in aşırı genel uyarılar yayınladığı yönündeki iddialarına karşı çıktı ve yatırımcılara yaptığı açıklamaların “sistemlerinin ‘sofistike ulus devlet’ aktörlerine karşı ‘savunmasız’ olduğu ve gerçekleşen riskin ta kendisi olduğuna dair özel uyarılar içerdiğini söyledi. ” Şirket ayrıca, SEC’in SEC dosyalarında “ayrıntılı güvenlik açığı bilgilerini” açıklaması gerektiği yönündeki iddialarının “kanun olmadığını ve bunun iyi bir nedeni olduğunu: bu tür ayrıntıların açıklanmasının yatırımcılara faydası olmayacağını, şirketler için pratik olmadığını ve her ikisine de zararlı olacağını” söyledi. Saldırganlara yol haritaları sağlayarak.”
Saldırganlar şirketin güvenlik politikalarının uygulanmasındaki boşluklardan yararlanırken şirket, bunun ayrıntılı olarak açıkladığı risklerden biri olduğunu söyledi. Şirket bir mahkeme dosyasında, “Hiçbir makul yatırımcı SolarWinds’in açıklamalarının mükemmellik standardını ima ettiğini anlamazdı, özellikle de risk faktörleri onun güvenlik önlemlerine rağmen saldırılara karşı savunmasız olduğu konusunda uyardığında.” dedi.
SolarWinds, Sunburst kampanyası ortaya çıktığında şirketin “18.000 kadar müşterinin risk altında olduğu da dahil olmak üzere saldırı ve saldırının ciddiyeti hakkında bildiği önemli gerçekleri hızla açıkladığını” ve FBI tarafından başlatılan soruşturmalara yardımcı olduğunu söyledi. ve ABD istihbarat topluluğu.