Menkul Kıymetler ve Borsa Komisyonu (SEC) Salı günü açıklandı 2019 SolarWinds veri ihlaliyle bağlantılı yanıltıcı açıklamalar yaptıkları için dört şirkete suç duyurusunda bulundu ve ceza verdi.
Suçlanan dört şirket, 995.000 dolar ceza ödeyecek olan siber güvenlik firması Check Point ve 990.000 dolar ödeyecek olan Mimecast; ve 4 milyon dolar ödeyecek teknoloji şirketleri Unisys ve 1 milyon dolar ödeyecek Avaya.
Bu şirketlerin tümü, SolarWinds yazılımını kullanan diğer birçok şirketi ve devlet kurumunu etkileyen SolarWinds’i etkileyen hack’in kurbanıydı. SEC’e göre her şirket, ihlallerin zararını “ihmalkar bir şekilde” küçümseyen ve en aza indiren farklı ihlaller gerçekleştirdi.
SEC Direktör Vekili Sanjay Wadhwa, “Halka açık şirketler siber saldırıların hedefi haline gelse de, karşılaştıkları siber güvenlik olayları hakkında yanıltıcı açıklamalar yaparak hissedarlarını veya yatırım yapan toplumun diğer üyelerini daha fazla mağdur etmemeleri gerekiyor” dedi. İcra Dairesi. “Burada SEC’in emirleri, bu şirketlerin söz konusu olaylarla ilgili yanıltıcı açıklamalar yaptığını ve yatırımcıların olayların gerçek kapsamı konusunda karanlıkta kaldığını ortaya koyuyor.”
SEC’e göre her şirket farklı ihlaller gerçekleştirdi. Avaya, bilgisayar korsanlarının “sınırlı sayıda” şirket e-postalarına eriştiğini söyledi ancak bilgisayar korsanlarının “bulut dosya paylaşım ortamında en az 145 dosyaya” da eriştiklerini söylemedi. Check Point, ihlali bilmesine rağmen “siber saldırıları ve riskleri” genel terimlerle tanımladı. Mimecast, bilgisayar korsanlarının hangi kodu ve şirket tarafından şifrelenen kimlik bilgilerinin miktarını “açıklamayarak saldırıyı en aza indirdi”. Ve Unisys, SolarWinds ile ilgili iki ihlalden etkilenmesine rağmen “siber güvenlik olaylarından kaynaklanan riskleri varsayımsal olarak tanımladı”.
SEC, tüm şirketlerin soruşturmayla işbirliği yaptığını ve cezaları ödemeyi ve “isnat edilen hükümlerin gelecekteki ihlallerini durdurmayı ve bu ihlallerden vazgeçmeyi” kabul ettiklerini, aynı zamanda SEC bulgularını “kabul etmediklerini veya reddetmediklerini” söyledi.
Avaya sözcüsü Julianne Embry, TechCrunch’a SEC’in “Avaya’nın gönüllü işbirliğini takdir ettiğini ve şirketin siber güvenlik kontrollerini geliştirmek için belirli adımlar attığımızı” söyledi.
Check Point sözcüsü Gil Messing, TechCrunch’a şunları söyledi: “Check Point, SolarWinds olayını araştırdı ve herhangi bir müşteri verisine, koduna veya diğer hassas bilgilere erişildiğine dair kanıt bulamadı. Yine de Check Point, SEC ile iş birliği yapıp anlaşmazlığı çözmenin kendi çıkarına olduğuna karar verdi.”
Mimecast sözcüsü Timothy Hamilton, TechCrunch’a şirketin SolarWinds saldırısına yanıt olarak “müşterilerimiz ve ortaklarımızla, hatta etkilenmemiş olanlar bile, proaktif ve şeffaf bir şekilde kapsamlı açıklamalarda bulunduğunu” söyledi.
Hamilton, “O dönemdeki düzenleyici gerekliliklere dayalı olarak açıklama yükümlülüklerimize uyduğumuza inanıyorduk” dedi.
TechCrunch yorum almak için ulaştığında Unisys sözcüsü Jamie Baid yorum yapmayı reddetti ve şirketin açıklamasına atıfta bulundu. 8-K dosyalama Salı günü yayınlandı. Belgede Unisys, SEC ile düzenleyicinin şirkete yönelik soruşturmasını çözüme kavuşturacak bir anlaşmaya vardığını söyledi.
Son birkaç yılda SEC, veri ihlallerinin ve bunların şirket, müşterileri ve kullanıcıları üzerindeki etkilerinin ifşa edilmesi konusunda halka açık şirketlere bir dizi yeni yükümlülük getirdi.