Menkul Kıymetler ve Borsa Komisyonu (SEC), SolarWinds’te Bilgi Güvenliği Baş Sorumlusu (CISO) olarak görev yapan Timothy Brown’u dolandırıcılıkla suçladı. Bu eylem, SEC’in kendisine karşı suçlamada bulunma niyetini başlangıçta belirtmesinden birkaç ay sonra gerçekleşti.
Bu suçlamalar, özellikle “SolarWinds siber güvenlik uygulamalarının abartılması” ve bilinen risklerin ifşa edilmemesiyle ilgili olarak yatırımcılara yanlış bilgi sağladığı iddialarından kaynaklanıyor. New York’un Güney Bölgesi’nde yapılan bir şikayete dayanarak yasal işlemler şu anda devam ediyor.
Basında çıkan haberlere göre SolarWinds siber saldırısı Ekim 2018 ile Aralık 2020 arasında iki yıldan fazla sürdü. Bu siber saldırının Rusya Dış İstihbarat Servisi ile bağlantılı olduğu söyleniyor.
Timothy aleyhindeki şikayet, ülkenin iki kanununun ihlaline dayanıyor. Onun, 1934 Menkul Kıymetler Borsası Kanunu’nu ve 1934 Menkul Kıymetler Kanunu’nun dolandırıcılıkla mücadele hükümlerine ilişkin bazı hükümlerini ihlal ettiği söyleniyor.
The Record Media tarafından bildirildiği üzere SEC, Brown’a karşı kalıcı ihtiyati tedbir, ön karar faiziyle birlikte tazminat, hukuki cezalar ve bir memur ve direktör barosunu amaçlayan yasal bir yol izleme niyetini ifade etti.
SolarWinds Siber Saldırısının Ayrıntıları
SolarWinds Siber Saldırısı, bilgisayar korsanlarının şirketin Orion adlı BT izleme sistemine kötü amaçlı yazılım sızmaya başlamasıyla başladı. Daha sonra şirketin bulut tabanlı ve dahili sistemlerini tehlikeye atan ve birkaç ay boyunca hassas bilgileri çalmaya devam eden çok sayıda kötü amaçlı yazılım daha dağıttılar. Çalınan bilgiler Enerji, Savunma, İç Güvenlik, Hazine, Ticaret, Adalet, Enerji ve daha birçok Bakanlık gibi çeşitli ABD devlet kurumlarıyla bağlantılı.
SEC ayrıca SolarWinds’in, şirket ve Brown’un siber güvenlik uygulamalarındaki belirli eksikliklerin ve karşılaştıkları artan risklerin farkında oldukları bir dönemde “yalnızca genel ve varsayımsal riskleri açıklayarak yatırımcıları yanılttığını” ileri sürdü.
SEC’e göre, daha önce Timothy ile paylaşılan dahili raporlar, SolarWinds’in uzaktan erişim kurulumunun savunmasız olduğuna dair açık bir gösterge sağlıyordu. Raporlar, siber suçluların çok geç olana kadar fark edilmeden çalışabileceğini ve sonuçta SolarWinds için “büyük bir itibar ve mali kayıpla” sonuçlanabileceğini öne sürdü. Ancak bu kırmızı bayraklara aldırış edilmedi.
SEC’in SolarWinds Siber Saldırı şikayetinde, Timothy’nin bir zamanlar müşterisine yönelik bir siber saldırı olayında “arka uçlarının o kadar da dayanıklı olmadığını” kabul ettiğine ve saldırganların bunu SolarWinds’in Orion yazılımının arka ucunu kullanarak yapmış olabileceklerini kabul ettiğine dair kanıtlar da var. Ayrıca Eylül 2020’de bir çalışan tarafından kendisine “geçen ay tespit edilen güvenlik sorunlarının hacminin Mühendislik ekiplerinin çözme kapasitesini aştığı” bilgisi verildi.
SEC İcra Dairesi müdürü Gurbir Grewal şunları söyledi: “SolarWinds ve Brown’un, şirket genelinde iyi bilinen ve SolarWinds’in siber riskleri hakkındaki tekrarlanan tehlike işaretlerini yıllardır görmezden geldiğini ve Brown’ın astlarından birinin şu sonuca varmasına yol açtığını iddia ediyoruz: ‘Biz’ Güvenlik odaklı bir şirket olmaktan çok uzaktayız.”
Ayrıca şunları söyledi: “SolarWinds ve Brown, bu güvenlik açıklarını ele almak yerine, şirketin siber kontrol ortamına ilişkin yanlış bir resim çizmek ve böylece yatırımcıları doğru maddi bilgilerden mahrum bırakmak için bir kampanya başlattılar. Bugünkü icra eylemi, SolarWinds ve Brown’ı yalnızca yatırımcı kamuoyunu yanıltmakla ve şirketin ‘taç mücevheri’ varlıklarını korumamakla suçluyor, aynı zamanda ihraççılara olan mesajımızın da altını çiziyor: risk ortamlarınıza göre ayarlanmış güçlü kontroller uygulayın ve bilinen endişeler konusunda yatırımcılarla aynı seviyede olun. ”
Senaryonun tamamı, Timothy Brown’un SolarWinds’teki siber güvenlik sorunları hakkında net bir anlayışa sahip olduğunu ortaya koyuyor; ancak bu endişeleri gidermek veya konuyu daha üst düzey şirket yönetimine taşımak için herhangi bir işlem yapmadı. SEC ayrıca 2020’de SolarWinds’e yapılan siber saldırıların ifşasının eksik olduğunu ileri sürüyor ve ilgili bazı ayrıntıların kasıtlı olarak açıklanmadığını öne sürüyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Siber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.