Veri İhlalcilerine Karşı İsimsiz SEC Şikayetinde Bulunmak ve Onları Ceza Ödemeye veya Harekete Geçmeye Zorlamak için 6 Adım

   Kasım 17, 2023  Posted in ExploitOne


ABD Menkul Kıymetler ve Borsa Komisyonu’nun (SEC), halka açık şirketlerin veri ihlallerini nasıl ele alması ve ifşa etmesi gerektiğine ilişkin yönergeleri ve kuralları vardır. Bu kurallar öncelikle şirketlerin yatırımcılara, yatırım kararlarını etkileyebilecek riskler ve olaylar hakkında zamanında, doğru ve kapsamlı bilgi vermelerini sağlamaya odaklanmaktadır. Bu kuralların temel yönleri şunları içerir:

  1. Açıklama Gereksinimleri: Halka açık şirketlerin, bir yatırımcının şirketin menkul kıymetlerini satın alma, satma veya elinde tutma kararını etkileyebilecek önemli bilgileri açıklaması gerekir. Bir veri ihlali, şirketin işi, mali durumu veya itibarı için önemli bir risk teşkil ediyorsa önemli olarak değerlendirilebilir.
  2. Yönetmelik SK: Bu yönetmelik SEC’in mali olmayan tablo açıklamalarına ilişkin gerekliliklerini sağlar. Şirketlerin siber güvenlik risklerini ve olaylarını nasıl açıklaması gerektiğine ilişkin yönergeleri içerir. Kılavuz, şirketlerin periyodik ve güncel raporlarında açıklamalar hazırlarken siber güvenlik risklerinin ve olaylarının önemliliğini dikkate alması gerektiğini vurguluyor.
  3. Düzenleme FD (Adil Açıklama): Bu düzenleme halka açık şirketlerin önemli bilgileri tüm yatırımcılara aynı anda açıklamasını gerektirmektedir. Bir şirket, bir veri ihlali (veya başka bir sorun) hakkındaki kamuya açık olmayan önemli bilgileri seçici olarak belirli kişilere açıklarsa, bu bilgileri aynı anda kamuya açık hale getirmelidir.
  4. Siber Güvenlik Risk Yönetimi Politikaları: SEC, şirketlerin siber güvenlik risklerini nasıl yönetmeleri gerektiğini özel olarak zorunlu kılmasa da, şirketlere kapsamlı siber güvenlik politikaları ve prosedürlerini uygulamalarını şiddetle tavsiye eder. Bu politikalar siber güvenlik olaylarını önlemek, tespit etmek ve etkilerini en aza indirmek için tasarlanmalıdır.
  5. Raporlama Zaman Çizelgeleri: SEC, veri ihlallerinin raporlanması için belirli zaman çizelgeleri sağlamaz. Ancak şirketlerin önemli bilgileri zamanında raporlaması bekleniyor. Açıklamanın zamanlaması, siber güvenlik olayının niteliğine ve şirketin bu olayın önemliliğine ilişkin değerlendirmesine bağlıdır.
  6. İç Kontroller: Şirketlerin, siber güvenlik riskleri ve olayları ile ilgili bilgilerin uygun şekilde tanımlanmasını, işlenmesini ve açıklanmasını sağlamak için uygun iç kontrollere sahip olması beklenir.
  7. İhbar Korumaları: SEC, veri ihlallerinin yanlış ele alınması veya bunların uygun şekilde ifşa edilmemesi de dahil olmak üzere, menkul kıymetler kanunu ihlallerini bildiren ihbarcıları koruyan hükümlere sahiptir.

Şirketlerin, gelişen siber güvenlik riskleri ve SEC yönergeleri ışığında açıklama uygulamalarını düzenli olarak gözden geçirmesi ve güncellemesi önemlidir. Ek olarak, düzenleme ortamı sürekli değiştiği için şirketlerin yeni gelişmelerden haberdar olması ve politikalarını ve açıklamalarını buna göre ayarlaması gerekiyor.

Para Cezaları ve Cezalar

Veri ihlalleri ve yetersiz açıklamalarla ilgili ihlaller için ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) tarafından uygulanan para cezaları ve cezalar, ihlalin ciddiyetine ve niteliğine bağlı olarak önemli ölçüde değişiklik gösterebilir. Bu cezalara ilişkin bazı önemli noktalar şunlardır:

  1. Sivil Cezalar: SEC, menkul kıymetler kanunlarının ihlali nedeniyle şirketlere ve bireylere para cezası uygulayabilir. Bu cezalar, ihlalin ciddiyeti, yatırımcılara verilen zarar ve ihlalcinin elde ettiği faydalar gibi faktörlere bağlı olarak önemli olabilir ve genellikle milyonlarca doları bulabilir.
  2. Kârın Dağıtılması: SEC, para cezalarına ek olarak, ihlalcilerin yasa dışı faaliyetten elde edilen kar veya kaçınılan zararları geri vermesini talep edebilir. Bu özellikle içeriden bilgi ticareti veya dolandırıcılık faaliyetlerinin söz konusu olduğu durumlarda geçerlidir.
  3. Durdurma ve Vazgeçme Emirleri: SEC, ihlalcinin yasa dışı davranışı durdurmasını ve gelecekteki ihlalleri önlemek için adımlar atmasını gerektiren durdurma ve vazgeçme emirleri verebilir. Bu, siber güvenlik önlemlerinin ve ifşa uygulamalarının iyileştirilmesini içerebilir.
  4. Memur ve Müdür Barları: Daha ciddi durumlarda, bireylerin, özellikle de üst düzey pozisyonlarda bulunanların, SEC’e kayıtlı herhangi bir kamu şirketinde memur veya yönetici olarak görev yapması yasaklanabilir.
  5. Ek Yaptırımlar: SEC ayrıca bir şirketin kaydını iptal etmek, gelecekteki ticarete kısıtlamalar getirmek ve davayı cezai kovuşturmaya sevk etmek gibi başka yaptırımlar da uygulayabilir; bu da hapis cezası da dahil olmak üzere daha ağır cezalara yol açabilir.
  6. Cezaları Etkileyen Faktörler: Cezanın büyüklüğü, suiistimalin vahimliği, soruşturma sırasında SEC ile işbirliğinin kapsamı ve şirketin zararı düzeltmek için gösterdiği çabalar dahil olmak üzere çeşitli faktörlerden etkilenir.
  7. Yüksek Profilli Vaka Örnekleri: Geçmişte şirketler, veri ihlallerini derhal açıklamadıkları için ciddi para cezalarıyla karşı karşıya kalıyorlardı. Örneğin, 2018 yılında, eski adıyla Yahoo! olarak bilinen Altaba, dünyanın en büyük veri ihlallerinden birini ifşa etmeyerek yatırımcıları yanıltmakla suçlanan suçlamaları çözmek için 35 milyon dolar ceza ödemeyi kabul etti.

Bu para cezalarının ve cezaların duruma göre belirlendiğini ve SEC’in uygun yaptırımlara karar vermeden önce her bir vakanın çeşitli yönlerini dikkate aldığını unutmamak önemlidir. Şirketlere SEC yönergelerine uymaları ve menkul kıymetler yasalarının olası ihlalleriyle ilgili konularda hukuk danışmanlığına başvurmaları şiddetle tavsiye edilir.

Müşteri verilerini sızdıran bir şirket hakkında ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) isimsiz bir şikayet bildirmek birkaç önemli adımı içerir:

  1. Neyin Bildirileceğini Anlamak: Şikayette bulunmadan önce konunun SEC’in yetki alanına girdiğinden emin olun. SEC genellikle, halka açık bir şirketin yatırımcıların kararlarını etkileyebilecek bilgileri ifşa etmesiyle ilgili konuları içerebilen menkul kıymetler yasalarının ihlallerini ele alır. Koşullara bağlı olarak bir veri sızıntısı, şirketin hisselerini veya yatırımcı çıkarlarını etkiliyorsa bu kategoriye girebilir.
  2. Bilgi toplamak: İhlal hakkında mümkün olduğunca fazla bilgi toplayın. Buna şirketle ilgili ayrıntılar, veri sızıntısının niteliği, bundan nasıl haberdar olduğunuz ve diğer ilgili ayrıntılar dahildir. Bilgi ne kadar spesifik olursa, SEC’in soruşturması için o kadar yararlı olacaktır.
  3. SEC’in Çevrimiçi İhbar, Şikayet ve Yönlendirme (TCR) Sistemini Kullanma: SEC’in ipuçlarını, şikayetleri ve yönlendirmeleri göndermek için çevrimiçi bir sistemi vardır. SEC’in web sitesinden erişebilirsiniz. Bu sistem şikayetinizi elektronik ortamda göndermenize olanak sağlar.
  4. Anonim Kalmayı Seçmek: TCR sistemini kullanırken şikayetinizi isimsiz olarak gönderme seçeneğiniz vardır. Ancak ihbarcı ödülüne layık görülmek istiyorsanız, bilgilerinizi sizin adınıza sunan bir avukat tarafından temsil edilmeniz gerekir. Avukat, ihbarınızı isimsiz olarak gönderebilir ancak kimliğinizi bilmesi gerekir.
  5. Formu Doldurma: TCR sistemi sizden şikayetinizle ilgili çeşitli detayların yer aldığı bir form doldurmanızı isteyecektir. Mümkün olduğu kadar çok bilgi sağlayın. Formu anonim olarak gönderiyorsanız kimliğinizi tanımlayabilecek herhangi bir kişisel bilgi eklemediğinizden emin olun.
  6. Şikayetin İletilmesi: Formu doldurduktan sonra TCR sistemi üzerinden gönderin. SEC şikayetinizi alacak ve olası eylem için inceleyecektir.
  7. Takip (İstenirse): Şikayetinizi isimsiz olarak ve avukatsız olarak gönderdiyseniz şikayetinizin durumuna ilişkin güncellemeler almayacaksınız. Avukatınız varsa sizin adınıza davanın durumunu sorabilir.

SEC’in tüm şikayetleri ciddiye almasına rağmen tüm şikayetlerin bir soruşturma veya eylemle sonuçlanmayacağını unutmamak önemlidir. SEC’in harekete geçme yeteneği, iddia edilen ihlalin niteliği ve sağlanan deliller dahil olmak üzere çeşitli faktörlere bağlıdır.

Daha spesifik rehberlik veya hukuki tavsiye için, özellikle ihbar ödülüne başvurmayı düşünüyorsanız, bir hukuk uzmanına danışmayı düşünün.

BlackCat olarak da bilinen Alphv fidye yazılımı çetesinin, dijital kredi teknolojisi satıcısı MeridianLink’e karşı ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) şikayette bulunmak gibi benzeri görülmemiş bir adım attığı bildirildi. Bu eylem, çetenin 7 Kasım’da MeridianLink ağını tehlikeye attığı ve sistemleri şifrelemeden şirket verilerini çaldığı iddiasının ardından geldi.

Fidye yazılımı grubuna göre MeridianLink, SEC’in siber güvenlik olayı açıklama kuralları uyarınca öngörülen dört günlük süre içinde siber saldırıyı açıklamadı. Temmuz ayında açıklanan bu kurallar, halka açık şirketlerin maddi etkisi olan siber saldırıları bildirmelerini zorunlu kılıyor. Bu tür olayların dört iş günü içinde Form 8-K’da açıklanması zorunluluğu Eylül ayında yürürlüğe girdi. Ancak daha büyük şirketler için bu gereklilik 18 Aralık 2023’e kadar uygulanmayacak, küçük kuruluşların ise Haziran 2024’e kadar uyması gerekiyor.

MeridianLink, olaya yanıt olarak bir siber güvenlik olayı yaşandığını kabul etti. Şirket, olayı fark ettikten sonra tehdidi kontrol altına almak için hemen harekete geçtiklerini ve soruşturma için üçüncü taraf uzmanları görevlendirdiklerini belirtti. Ayrıca yaptıkları soruşturmada şu ana kadar üretim platformlarına yetkisiz erişime dair herhangi bir kanıt bulamadığını ve olayın minimum düzeyde iş kesintisine neden olduğunu da belirttiler. MeridianLink ayrıca, tüketicinin kişisel bilgilerinin olaya karıştığını tespit etmeleri durumunda etkilenen tarafları bilgilendirmeyi taahhüt etti.

Bir SEC sözcüsü bu spesifik olay hakkında yorum yapmaktan kaçındı. Ancak hukuk uzmanları, Alphv’nin kurbanı SEC’e bildirme taktiğini, fidye yazılımı gruplarının kurbanlar üzerindeki ödeme yapma ve işbirliği yapma baskısını artırma çabalarının doğal bir evrimi olarak görüyor. Bu yaklaşımın, mağdur şirketlerde karar verme sürecini hızlandırması bekleniyor; özellikle de bir olayı rapor edip etmemeyi düşünmeleri gerektiğinde, piyasanın, yatırımcıların ve SEC’in, şirket bir rapor sunmadan önce olaydan haberdar olacağını tahmin ederek. 8-K formu.

Bu olay, siber suçlar ile mevzuata uygunluk arasında yeni bir kesişimi temsil ediyor ve fidye yazılımı gruplarının hedeflerine baskı uygulamak için gelişen stratejilerine dikkat çekiyor. Ayrıca şirketlerin siber güvenlik olaylarını düzenleyici gerekliliklere uygun olarak hızlı ve doğru bir şekilde raporlamasının artan öneminin de altını çiziyor.



Source link