Solarwinds Orion'da aldatıldı: Menkul Kıymetler ve Borsa Komisyonu bilişim şirketlerini cezalandırıyor

celeron

Global Mod
Global Mod
“BT güvenliğindeki önemli ihlallerin boyutunu küçümsemek kötü bir stratejidir.” ABD Sermaye Piyasası Otoritesi'nden (SEC) Jorge G. Tenreiro'nun listelenen şirketlerin sicilinde yazdığı şey budur. Ajans, Solarwinds Orion aracılığıyla yapılan saldırıların etkisini küçümsediği için Unisys, Avaya, Check Point ve Mimecast'i cezalandırdı. Tenreiro, SEC'in (Menkul Kıymetler Borsası Komisyonu) Kripto Varlıklar ve Siber Biriminin (CACU) başkan vekili olarak görev yapıyor.


Reklamcılık



Şüpheli Rus devlet korsanları, 2019 yılında SolarWinds'in Orion platformunu ele geçirmeyi ve bir Truva atını resmi güncellemelere kaçırmayı başardı. SolarWinds, dünya çapında 300.000'den fazla müşterinin kullandığı ağ ve güvenlik ürünlerini satmaktadır. Buna birçok Fortune 500 şirketi, ABD ordusu, Pentagon ve Dışişleri Bakanlığı gibi devlet kurumları da dahildir. Güncellemeleri yükleyerek Mart 2020'den itibaren sistemleri ele geçirildi. 2020'nin sonunda Fireeye arka kapıları keşfetti. Şubat 2021'de Microsoft Başkanı Brad Smith, “dünyanın şimdiye kadar gördüğü en büyük, en karmaşık saldırıdan” bahsetti.

Unisys, dört milyon ABD doları tutarındaki en yüksek para cezasını ödemek zorunda kaldı çünkü otorite orada daha fazla suiistimal tespit etti: hissedarlara, alacaklılara ve potansiyel yatırımcılara yasal olarak gerekli bildirimlerin dahili denetimi yetersizdi. SEC'e göre, Solarwinds hırsızlarının Unisys sistemlerine erişim sağlamasına ve verileri yalnızca bir kez değil iki kez sızdırmasına rağmen, Unisys'in BT güvenliği risklerini tamamen varsayımsal olarak tanımlamasının nedeni kısmen budur.

Avaya bir milyon dolar ödüyor. Birleşik iletişim hizmetlerinde uzmanlaşan şirket, faillerin “şirketin sınırlı sayıda e-postasına” eriştiğini itiraf etti. Ne yazık ki Avaya, hırsızların bulut tabanlı dosya paylaşımında en az 145 dosyaya da müdahale ettiğini belirtmeyi unuttu.

“Yarı gerçekler yasaktır”


Check Point Yazılım Teknolojileri ve Mimecast'in her birinin neredeyse birer milyon dolar aktarması gerekiyor. İsrail-Amerikan BT güvenlik şirketi Check Point, sistemlerine başarılı şekilde girildiğini biliyordu. Ancak genel hatlarıyla konuşmak yerine hırsızlıkları ve risklerini genel hatlarıyla anlattı. Mimecast bir saldırıyı açığa çıkardı ancak etkinin olduğundan daha küçük görünmesini sağladı. Şirketin merkezi Jersey'de bulunuyor ve Google ve Microsoft'un bulut hizmetleri için e-posta yönetimi sunuyor. SEC'in bulgularına göre Mimecast'in, faillerin hangi kaynak kodlarını kopyaladıklarını ve ne ölçüde şifreli erişim verilerini elde ettiklerini açıklaması gerekiyordu.

Cezalar ABD sermaye piyasası yasalarının ihlaline dayanıyor ve çok daha yüksek olabilirdi. Ancak dört BT şirketi SEC ile işbirliği yaptı, incelemeyi analizler veya sunumlarla gönüllü olarak destekledi ve BT güvenliklerini iyileştirmek için kendi inisiyatifleriyle önlemler aldı. Şartlı cezaları ve ihtiyati tedbiri de kabul ederler.



Cezanın nedeni hırsızlıklar değil, bunların yetersiz ifşa edilmesidir. SEC'in uygulama bölümünün başkan vekili Sanjay Wadhwa, “Halka açık şirketler BT saldırılarının hedefi olduğunda, meydana gelen BT güvenliği olayları hakkında yanıltıcı açıklamalar yaparak hissedarlarını ve yatırımcıların diğer üyelerini daha fazla mağdur etmemeliler” dedi. . Tenreiro şunu ekliyor: “ABD menkul kıymetler kanunu yarı gerçekleri yasaklıyor ve risk faktörü açıklamalarında açıklamalara ilişkin herhangi bir muafiyet yok.”

SEC işlemlerinin dosya numaraları 3-22272 (Unisys), 3-22269 (Avaya), 3-22270 (Check Point) ve 3-22271 (Mimecast) şeklindedir.




(ds)