Federal mahkeme hakiminin SolarWinds’e yöneltilen dolandırıcılık suçlamalarının çoğunu reddetmesi yönündeki kararı, Menkul Kıymetler ve Borsa Komisyonu’nun siber risk ifşasını düzenleme konusunda nasıl ilerleyeceğini önemli ölçüde etkileyebilir.
SolarWinds ve CISO’su Timothy Brown suçlandı 2020 yılında Sunburst tedarik zinciri saldırıları öncesinde yatırımcıları yanıltarak, şirketin Orion ağ izleme platformuna enjekte edilen kötü amaçlı yazılımlara binlerce şirketi maruz bıraktı.
ABD Bölge Mahkemesi Yargıcı Paul Engelmayer iddiaların büyük çoğunluğunu reddetti SolarWinds’e karşı en önemlisi şirketin iç muhasebe uygulamalarıyla ilgili iddialardır.
Davanın büyük bölümünün reddedilmesine rağmen hakim, davadaki temel suçlamalardan birinin şirketin halka arz öncesi teminat beyanıyla ilgili olduğunu kabul etti.
“Sonuç olarak bu karar, bir halka açık şirketin belirli siber güvenlik uygulamaları hakkında kamuoyuna ve müşterilere yönelik beyanlarda bulunması ve bu beyanların dahili yönetim kurulu ve yönetici raporlamasıyla uyumlu olmaması durumunda, SEC’nin bir dolandırıcılık iddiası için bir kancaya sahip olduğu anlamına geliyor,” dediMcDermott, Will & Emery’de ortak ve New York Güney Bölgesi’nin eski federal savcısı Sagar Ravi.
Bazı CISO’lar ve halka açık şirketler, kararın siber risk uygulamalarına ilişkin düzenleyici ve yasal risklerde bir yavaşlama yaratacağını düşünebilir ancak bir hukuk uzmanı bu varsayımın erken olduğunu söyledi.
“SEC, siber güvenliğe ve şirketlerin genel olay müdahalesine genel olarak bakma konusunda çok aktif olmaya devam ediyor” dedi Reed Smith’te ortak olan Gerry Stegmaier“SEC, FTC, eyalet başsavcıları ve toplu dava barosu gibi diğer hükümet kurumları arasında dava olasılığı hiç bu kadar yüksek olmamıştı.”
Siber yaptırım
Siber güvenlikle ilgili kontrollerin ihlalleri, RR Donnelley & Sons’ı ilgilendiren son davada bir sorundu. SEC 2,1 milyon dolarlık bir anlaşmaya vardı Haziran ayında iş iletişimi ve pazarlama hizmetleri sağlayıcısıyla bir araya geldik.
Dava geç bir tarihte gerçekleşti Kasım 2021 fidye yazılımı saldırısıbilgisayar sistemlerini şifreleyen, verileri çalan ve işletmeyi elinde tutan hackerlar Noel’den hemen öncesine kadar.
SEC, şirketin bu bilgileri yönetime raporlamak için etkili açıklama kontrolleri ve prosedürleri tasarlamada başarısız olduğunu söyledi.
RR Donnelley davası 2021’e kadar uzanan güvenlik olayları ve uyarılarıyla ilgiliydi. Şirket davada tam işbirliği yaptı ve bu işbirliği uzlaşma anlaşmasının şekillenmesine yardımcı oldu.
SolarWinds kararının RR Donnelley anlaşması veya önceki davalar üzerinde herhangi bir etkisi olup olmayacağı henüz belli değil; ancak SEC’in belirli gelecekteki durumlarda iç kontrolleri içeren eylemlerde bulunma yeteneğini sınırlayacaktır.
Holland & Knight’ta ortak olan Shardul Desai, e-posta yoluyla yaptığı açıklamada, “Görüş ayrıca SEC’in sistemsel eksikliklerin olduğu, örneğin kontrollerin tasarımda yetersiz olduğu veya sık hatalara yol açtığı durumlarda bir açıklama kontrolü ihlali suçlamasıyla sınırlı olabileceğini öne sürüyor” dedi. “Maddi bir siber güvenlik olayının zamanında açıklanmamasıyla sonuçlanan masum hatalar, SEC eylemi için yeterli olmayabilir.”
Risk açıklamaları
Federal yetkililer, siber riskleri gerektiği gibi ifşa etmeyen ve yatırımcılara ve müşterilere karşı şeffaflık göstermeyen şirketlere baskı yapıyor.
SEC, 2023 yılında bir sonuca ulaştı Eğitim yazılımı firması Blackbaud ile 3 milyon dolarlık anlaşma 2020 yılında gerçekleşen bir fidye yazılımı saldırısının kapsamı hakkında yanıltıcı açıklamalarda bulunduğu için.
2022 yılında, Uber’de eski baş güvenlik görevlisi Şirketin daha önce Federal Ticaret Komisyonu tarafından soruşturulduğu sırada fidye yazılımı saldırısını örtbas ettiği gerekçesiyle suçlu bulundu.
Uber’in eski CSO’su Joseph Sullivan, saldırganların 57 milyon müşteri kaydına ve Uber sürücülerine ait 600 bin ehliyet numarasına erişmesinin ardından iki bilgisayar korsanına ödeme yapmış ve onlarla bir gizlilik anlaşması yapmıştı.
İlk duruşma öncesi konferans 14 Ağustos’ta Lower Manhattan’daki Thurgood Marshall Adliyesi’nde planlandı. Mahkeme, dava ve savunmanın olgusal ve yasal temeli, duruşma öncesi talepleri ve bir uzlaşma olasılığı hakkında bilgi arıyor.
SolarWinds sözcüsü e-posta yoluyla yaptığı açıklamada, “Kendi kanıtlarımızı sunma ve bu kalan iddianın neden gerçek dışı olduğunu gösterme fırsatını sabırsızlıkla bekliyoruz.” dedi.
SEC yorum yapmayı reddetti.