ABD’nin New York Güney Bölge Mahkemesi’ne sunduğu yeni bir başvuruda SolarWinds, Menkul Kıymetler ve Borsa Komisyonu’nun hem uzmanlık derinliğinin hem de SolarWinds’i ve baş bilgi güvenliği görevlisini şu anki verileri yanlış yönetmekle suçlama konusundaki yetki kapsamının dışında olduğunu savundu. rezil, 2020, Orion platformuna Rusya destekli siber casusluk saldırısı.
Ekim 2023’ün sonlarında, SEC, SolarWinds’ı şarj etti ve onun CISO’su Tim Brown’ın menkul kıymetler dolandırıcılığı ve iç kontrol başarısızlıkları konusundaki yanıtları karmaşık siber saldırı kampanyası Bu, sonuçta SolarWinds yazılımını kullanan birçok ABD devlet kurumunun uzlaşmasına yol açtı.
SEC şirketi suçladı sistemlerini korumak için uygun siber güvenlik kontrollerine sahip olmadığını biliyordu ancak harekete geçemedi. Ayrıca SEC, Brown da dahil olmak üzere SolarWinds içerisindeki kişilerin sistemlerdeki şüpheli faaliyetlerin farkında olmalarına rağmen müşterileri olası tehdit konusunda kasten yanılttıklarını ileri sürdü. SEC ayrıca Brown’ı, siber saldırı kamuya açıklanmadan ve hisse değerleri serbest düşüşe geçmeden önce içeriden edindiği bilgiler sayesinde SolarWinds hisselerini satıp yaklaşık 170.000 dolar kâr elde etmekle suçluyor.
SolarWinds, SEC Ücretlerinin Ayrıntılı Reddedilmesini Sunuyor
Suçlamaların açıklanmasının hemen ardından, SolarWinds bir savunma kurma sözü verdi mahkemede. yeni görevden alma talebi ayrıntılı bir reddi teklif etti SEC’in suçlamaları.
SolarWinds’i temsil eden Latham & Watkins avukatı Serrin Turner, Bloomberg Hukuk’a yaptığı açıklamada, “SolarWinds, benzeri görülmemiş Sunburst siber saldırısından önce ve sonra doğru açıklamalar yaptı, bu nedenle bu davanın reddedilmesi gerekiyor.” dedi. “SEC, hedef direklerini değiştirmeye ve şirketleri siber güvenlik programlarıyla ilgili dahili ayrıntıları açıklamaya zorlamaya çalışıyor ki bu hem pratik hem de tehlikeli olur.”
SolarWinds, SEC’in hangi SolarWinds güvenlik kontrollerinin düzenlemelere aykırı olduğunu spesifik olarak belirleyemediğine dikkat çekiyor.
Şirket mahkemeye yaptığı açıklamada, “Ve ‘dahili muhasebe kontrolleri’ ihlallerine ilişkin teorisi, yasanın toptan yeniden yazılması anlamına geliyor.” dedi. “Ajans, muhasebe kontrolleri kavramını, kamu şirketlerinin siber güvenlik kontrollerini düzenlemek için kapsamlı bir yetkiye dönüştürmeye çalışıyor – SEC’in kongre yetkisine veya esaslı uzmanlığa sahip olmadığı bir rol.”
Şirket, SolarWinds ve Brown’ın uygun şekilde hareket ettiğini ve yanıt boyunca şeffaflığı koruduğunu belirterek, SolarWinds’in SEC tarafından haksız bir şekilde siber suçun kurbanı değil faili olarak nitelendirildiğini ekledi.
Mahkemeye sunulan bildiride, “Bununla birlikte, üç yıldan fazla bir süre sonra SEC, şirkete ve onun CISO’su Tim Brown’a karşı menkul kıymet dolandırıcılığı ve kontrol suçlamaları getirerek mağduru yeniden mağdur etmeye çalışıyor.” ifadesine yer verildi. “Suçlamalar benzeri görülmemiş olduğu kadar asılsız.”