SolarWinds ve uzun süredir CISO’su olan Timothy Brown, kötü şöhretli SUNBURST saldırısına yol açan kritik güvenlik açıklarının bilindiğini ancak üzerinde durulmadığını iddia ederek ABD SEC suçlamalarıyla karşı karşıya kalacak.
SUNBURST, Orion ağ yönetimi eklentisinin truva atı haline getirilmiş bir versiyonuydu ve SolarWinds güncelleme sunucusuna saldırıp kötü amaçlı yazılım bırakarak yaklaşık dokuz ay boyunca yaklaşık 18.000 müşterinin güvenliğini tehlikeye atmak için kullanıldı.
Menkul Kıymetler ve Borsa Komisyonu (SEC) bugün SolarWinds’in yıllardır abartıldığını iddia etti[ed] siber güvenlik uygulamaları ve yetersiz[ed] ya da başarısız ol[ed] bilinen riskleri ifşa etmek.”
ABD SEC’in “SolarWinds’in siber güvenlik uygulamalarındaki belirli eksikliklerin” mevcut olduğunu iddia ettiği bir dönemde, şirketin mevzuata ilişkin başvuruları “yalnızca genel ve varsayımsal riskleri” ortaya çıkardı.
SEC’in şikayeti, “SolarWinds’in uzaktan erişim kurulumunun” güvenliği ve “çevresindeki korumalar” konusunda şüphe uyandıran çok sayıda dahili sunumun varlığını iddia ediyor:[a]Kritik sistemlere/verilere erişim ve ayrıcalık”.
SEC ayrıca şirketin siber güvenlik duruşuyla ilgili soruların defalarca gündeme getirildiğini ve özellikle Brown’un güvenlik açıklarının farkında olduğunu ancak “sorunları çözemediğini veya zaman zaman bunları şirket içinde yeterince ileri götüremediğini” iddia etti.
SEC yaptırım bölümü müdürü Gurbir S. Grewal, yaptığı bir açıklamada, “SolarWinds ve Brown’un, SolarWinds’in siber riskleriyle ilgili olarak şirket genelinde iyi bilinen tekrarlanan uyarı işaretlerini yıllardır görmezden geldiğini iddia ediyoruz” dedi.
“SolarWinds ve Brown, bu güvenlik açıklarını ele almak yerine, şirketin siber kontrol ortamına ilişkin yanlış bir resim çizmek ve böylece yatırımcıları doğru maddi bilgilerden mahrum bırakmak için bir kampanya başlattı.
“Bugünkü icra eylemi, SolarWinds ve Brown’ı yalnızca yatırımcı kamuoyunu yanıltmakla ve şirketin ‘mücevher’ varlıklarını korumamakla suçluyor, aynı zamanda ihraççılara verdiğimiz mesajın altını çiziyor: risk ortamlarınıza göre ayarlanmış güçlü kontroller uygulayın ve bilinen endişeler konusunda yatırımcılarla aynı seviyede olun. .”
SEC, “kalıcı ihtiyati tedbir, ön karar faiziyle birlikte tazminat, hukuki cezalar ve Brown’a karşı bir memur ve direktör barosu” istiyor.