ABD Menkul Kıymetler ve Borsa Komisyonu’nun (SEC), 2020 siber saldırısının merkezindeki BT yazılım şirketi SolarWinds’e karşı açtığı dikkat çeken davanın önemli bir kısmı, Perşembe günü federal bir yargıç tarafından reddedildi.
Ünlü SolarWinds veri ihlali, aralarında büyük teknoloji şirketlerinin ve hükümet kurumlarının da bulunduğu 18.000’den fazla müşteriyi tehlikeye attı. Bu karar, SEC’in hissedarlara yapılan ihlal yönetimi ve siber güvenlik açıklamaları konusundaki artan incelemelerinden endişe duyan güvenlik şefleri ve yöneticileri tarafından yakından takip edilen önemli bir gelişmedir.
Mahkemenin SolarWinds Veri İhlali Hakkındaki Kararı
ABD Bölge Yargıcı Paul Engelmayer’in 107 sayfalık kararı SolarWinds için önemli bir zafer anlamına geliyordu. SEC’in şikayetinin “şirketin siber güvenlik saldırısına ilişkin raporlamasındaki eyleme geçirilebilir eksiklikleri makul bir şekilde ileri sürmediği” sonucuna vardı ve iddiaları “geriye dönük görüş ve spekülasyona” dayandığı için eleştirdi.
Ekim 2023’te New York Güney Bölgesi’nde açılan dava, hem SolarWinds’i hem de Bilgi Güvenliği Sorumlusu (CISO) Tim Brown’ı hedef alıyordu.
98 sayfalık şikayette SolarWinds ve Brown’ın şirketin zayıf siber güvenlik uygulamalarını ve Rus istihbaratı tarafından düzenlendiği yaygın olarak düşünülen hack’e yol açan artan riskleri gizlemekle suçlandı. Hacker’lar SolarWinds’in amiral gemisi Orion yazılımına kötü amaçlı kod yerleştirdi ve bu kod daha sonra rutin güncellemeler aracılığıyla müşterilere yayıldı.
Engelmayer’in kararı, SolarWinds’in saldırı sonrası ifşalarının doğru olduğunu ve “bilinen gerçekleri adil bir şekilde yansıttığını” belirterek, “bir bütün olarak ele alındığında, genel resmi, yani SUNBURST saldırısının ciddiyetini yansıttığını” belirtti. SEC’in SolarWinds’in uygun iç muhasebe kontrollerini sağlamada başarısız olduğu yönündeki iddialarını reddederek, siber güvenlik kontrollerinin muhasebe kapsamına girmediğini belirtti.
Cyber Express Ekibi, bu karara ilişkin tepkilerini almak için SolarWinds yetkilileriyle iletişime geçti.
Geriye Kalan İddialar ve Sektör Endişeleri
Ancak dava tamamen çözülmüş değil. Yargıç Engelmayer, SolarWinds ve Brown’ın şirketin web sitesinde şirketin siber güvenliği hakkında yanıltıcı ifadelerde bulunduğu yönündeki SEC iddialarının devam etmesine izin verdi. Bu beyanların, özellikle erişim kontrolleri ve parola koruma politikalarıyla ilgili olarak önemli ölçüde yanıltıcı olduğunu buldu. Bu iddialar, bu tür davalarda artan kişisel sorumluluktan korkan baş güvenlik görevlilerini alarma geçirdi.
Austin, Teksas merkezli SolarWinds’e karşı SEC’in açtığı dava, eş zamanlı bir anlaşma olmaksızın siber saldırıya uğrayan bir şirketi hedef alması bakımından dikkat çekicidir. Ayrıca SEC’in finansal tablo hazırlamada doğrudan yer almayan halka açık şirket yöneticilerine dava açması da nadirdir.
SEC, SolarWinds’in saldırıdan önce ürünlerindeki güvenlik açıklarını gizlediğini ve sonrasında ciddiyetini küçümsediğini iddia etti. Şikayette, SolarWinds’in gerçek siber tehditleri varsayımsal olarak yanlış tanıtan bir “hazır metin” ifşası dosyaladığı iddia edildi. Ayrıca SolarWinds’in ihlalin büyüklüğü bilindiğinde halkı yanılttığı iddia edildi.
Yargıç Engelmayer, dolandırıcılık karşıtı yasaların risk uyarılarının “maksimum özgüllüğe” sahip olmasını gerektirmediğine karar vererek buna katılmadı; bu, siber saldırganlara potansiyel olarak ek istismar edilebilir bilgiler sağlayabilirdi. SolarWinds’in siber saldırı olasılığını, bireysel olayları ayrıntılı olarak açıklama yükümlülüğü olmadan, işin kaçınılmaz bir yönü olarak ifşa ettiğini belirtti.
SolarWinds’ Orion yazılımını hedef alan Sunburst saldırısı, Ticaret, Enerji, İç Güvenlik, Dışişleri ve Hazine Bakanlıkları da dahil olmak üzere çeşitli ABD hükümet kurumlarına sızdı. İhlalin tam etkisi henüz bilinmiyor, ancak ABD yetkilileri saldırıyı sorumluluğu reddeden Rusya’ya bağladı.
Devam eden hukuki mücadele, şirketlerin siber güvenlik tehditlerini ve düzenleyici incelemeyi yönetmede karşılaştıkları karmaşıklıkları ve zorlukları vurgulamaktadır. Dava ilerledikçe, siber güvenlik profesyonelleri ve kurumsal yöneticiler için odak noktası olmaya devam edecektir.