Menkul Kıymetler ve Borsa Komisyonu’nun (SEC) “maddi” siber olayların keşfedilmesinden sonraki dört gün içinde ifşa edilmesine yönelik yeni düzenleyici gereksinimlerinin ardından, MGM Resorts ve Caesars Entertainment’ın ikili siber ihlalleri, bu kuralların ne kadar farklı yorumlanabileceğini gösterdi.
Her iki ihlal de bir Okta Agent’ın kötüye kullanılmasından kaynaklandı ve her ikisinin de aynı fidye yazılımı tehdit aktörü tarafından gerçekleştirildiği bildirildi. Her ikisi de birkaç gün arayla gerçekleşti. Ancak her kuruluşun yeni SEC açıklama kurallarını nasıl ele aldığı farklıydı.
Caesars açıklamasını yaptı, SEC form 8-K, 14 Eylül. Bu form, dış kaynaklı bir BT destek sağlayıcısına yönelik sosyal mühendislik saldırısının kullanılması da dahil olmak üzere, siber saldırının doğası ve kapsamı hakkında ayrıntılarla doluydu. Ancak açıklamada, olayın 7 Eylül’de SEC tarafından rapor edilmesi için belirlenen dört günlük süre dışında tespit edildiği belirtildi.
MGM Tatil Köyleri 12 Eylül’deki dört günlük süre içinde başvuruda bulunarak açıklama konusunda daha hızlı davrandı ancak uzlaşmaya ilişkin ilk basın bülteninde zaten ortaya koyduğunun ötesinde herhangi bir ayrıntı içermedi.
Açıklamada, “MGM Resorts yakın zamanda Şirketin bazı sistemlerini etkileyen bir siber güvenlik sorunu tespit etti. Sorunu tespit ettikten hemen sonra, önde gelen harici siber güvenlik uzmanlarının yardımıyla bir soruşturma başlattık” denildi. “Ayrıca kolluk kuvvetlerine de bilgi verdik ve belirli sistemlerin kapatılması da dahil olmak üzere sistemlerimizi ve verilerimizi korumak için adımlar atıyoruz. Soruşturmamız devam ediyor ve konuyu çözmek için özenle çalışıyoruz. Şirket, ticari faaliyetlerini güvence altına almak için önlemler uygulamaya devam edecek” ve uygun görüldüğü takdirde ek adımlar atın.”
Her iki açıklamayı da okuyunca, ya MGM’nin olayın ayrıntılarını eksik açıkladığı ya da Caesars’ın gerekenden daha fazla bilgi sağladığı görülüyor. Açıklamalar arasındaki tutarsızlıklar sorulduğunda SEC yorum yapmaktan kaçındı.
Bu arada SEC, eski ifşa politikasının uygulanmasını hızlandırdı ve örneğin 2020 SolarWinds tedarik zinciri siber saldırılarına karışan bireysel yöneticilere karşı yasal işlem tehdidinde bulundu.
MGM’nin Siber İfşasında Olay Detayları Yok
Rain Capital’in kurucusu ve genel ortağı Chenxi Wang, iki açıklamaya ilişkin daha samimi bir değerlendirme sunuyor.
Wang, “Hangi açıklama tarzının norm haline geleceğini söylemek zor, ancak MGM’nin yeterli olmayacağı neredeyse kesin” diyor. “Kılavuzda olayın niteliğinin açıklanması gerektiği belirtiliyordu. MGM bunu pek yapmadı.”
Kendisi, Caesar’ın açıklamasının yönetmeliğin ruhuna daha uygun olduğunu ekliyor. Wang, “Caesars’ın gereğinden fazla bilgi verip vermediğinden emin değilim” diyor. “Yazdıkları uygun görünüyor ve süreçlerini anlamak için yeterli ayrıntı içeriyor.”
Caesars’ın açıklamasının dört günlük sürenin dışında kalmasıyla ilgili olarak Wang, bu konuda çok fazla hareket alanı olduğunu söylüyor.
Wang, “Zamanlamaya gelince, bir ihlalin olduğunun belirlenmesinden değil, önemliliğin belirlenmesinden itibaren dört gün var” diyor. “Caesars hiçbir zaman olayın maddi olup olmadığını söylemedi, belki de nedeni buydu.”
Wang, SEC’in MGM Resorts gibi toparlanmanın ortasındaki kuruluşlara muhtemelen daha fazla hareket alanı vereceğini savunuyor. Wang, Caesars’ın SEC 8-K’yi yayınladığında sistemlerinin çoğunu zaten kurtardığını ve muhtemelen ayrıntıları sağlama konusunda daha iyi bir konumda olduğunu açıklıyor.
Wang, “SEC, bir açıklamada nelerin olması gerektiği konusunda daha net olmalı mı? Belki de, ancak, hangi bilgilerin açıklamaya gireceği konusunda bir miktar esneklik sağlayan, gevşek bir şekilde tanımlanmış bir kılavuzun haklılığı vardır” diyor. “Bu devam eden bir ihlal veya tamamlanmamış bir soruşturma için önemli olabilir.”
Trend Micro’nun tehdit istihbaratından sorumlu başkan yardımcısı John Clay, MGM vakasında, organizasyonun muhtemelen hâlâ tehdit aktörlerinin sistemlerine erişim sahibi olup olmadığını belirlemeye çalıştığını ve bu nedenle daha fazla ayrıntı açıklayıp açıklayamayacağını açıklıyor.
“Fakat şirketler yeterince açıklama yapmazlarsa kuralları ihlal etmiş olurlar mı?” Clay soruyor. “Bu farklı bir soru.”
SEC Açıklama Kuralları Belirsiz Kaldı Ancak Diğer Düzenleyiciler Tarafından Kabul Edildi
SEC henüz 8-K açıklamalarına ilişkin minimum gereklilikler konusunda rehberlik sağlamamış olsa da yaklaşımın uygulanması, düzenleyici kurumun kapsamı dışında yayılıyor. Clay, Nevada Gaming Board’un aynı zamanda SEC kurallarını bir gözetim planı olarak kullandığını da söylüyor.
Nevada Gaming Board, MGM Resorts veya Caesars Entertainment ile olan etkileşimleri hakkında doğrudan yorumda bulunmadı ancak oyun operatörlerinin aşağıdakileri yapmasını gerektiren 5.260 sayılı düzenlemeye bir bağlantı sağladı: verileri bir siber saldırıya karşı koruyun. Sağlanan düzenleme, siber olay sonrasında ifşa edilmesine ilişkin herhangi bir hüküm içermemektedir.
Clay, “Bunun bir başka katmanı da kumarhanelerin, SEC’in rehberliğini izleyen Nevada Oyun Kontrol Kurulu ile uğraşmak zorunda olmasıdır” diye ekliyor. “Bu, etkilenen şirketler için şu anlama geliyor: Artık kolluk kuvvetleri de dahil olmak üzere uğraşmaları gereken birkaç farklı kuruluş var. MGM ve Caesars üzerinde birleşen birçok grup var.”
Kenar Çubuğu: Caesars’a Karşı Açılan Toplu Dava
Kumarhanelerin karşılaştığı tek evrak sorunu düzenleyiciler değil. Pazartesi günü, Caesar’ın bir siber saldırıyı açıklamasından birkaç gün sonra, Miguel Rodriguez tarafından Nevada’daki ABD Bölge Mahkemesinde kumarhaneyi “yetersiz veri güvenliğiyle” faaliyet göstermekle suçlayan toplu dava açıldı.
Caesars ve MGM Resorts’un açıklamaları sonuca doğru ilerlerken, iki kuruluşun yönetmelikler ve davalar karşısında nasıl bir performans sergileyeceği, diğer grupların gelecekteki siber saldırıları yönlendirmek için kullanabileceği kritik bir emsal sunacak. Bu arada kurallar belirsizliğini koruyor ve uygulama parametreleri belirsizliğini koruyor.