ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), 2020 yılında SolarWinds’in hacklenmesinden kaynaklanan büyük ölçekli siber saldırıyla ilgili “maddi yanıltıcı açıklamalar” yapmakla ilgili dört mevcut ve eski kamu şirketini suçladı.
SEC, Avaya, Check Point, Mimecast ve Unisys şirketlerinin, SolarWinds Orion yazılımı tedarik zinciri olayının ardından ifşa sürecini nasıl ele aldıkları ve ihlalin boyutunu küçümseyerek Menkul Kıymetler Yasasını ihlal ettikleri için cezalandırıldıklarını söyledi. 1933 tarihli Menkul Kıymetler Borsası Kanunu ve bunların altındaki ilgili kurallar.
Bu amaçla Avaya 1 milyon dolar, Check Point 995.000 dolar, Mimecast 990.000 dolar ve Unisys 4 milyon dolar para cezası ödeyecek. Ayrıca SEC, Unisys’i ifşa kontrolleri ve prosedürleri ihlal etmekle suçladı.
“Halka açık şirketler siber saldırıların hedefi haline gelse de, karşılaştıkları siber güvenlik olayları hakkında yanıltıcı açıklamalar yaparak hissedarlarını veya yatırım yapan toplumun diğer üyelerini daha fazla mağdur etmemeleri gerekiyor.” söz konusu Sanjay Wadhwa, SEC İcra Dairesi Direktör Vekili.
“Burada SEC’in emirleri, bu şirketlerin söz konusu olaylarla ilgili yanıltıcı açıklamalar yaptığını ve yatırımcıların olayların gerçek kapsamı konusunda karanlıkta kaldığını ortaya koyuyor.”
SEC’e göre dört şirket de SolarWinds Orion saldırısının arkasındaki Rus tehdit aktörlerinin sistemlerine yetkisiz bir şekilde eriştiğini öğrendi ancak kamuya yaptıkları açıklamalarda olayın kapsamını en aza indirmeyi seçtiler.
Bağımsız federal kurum Unisys, siber güvenlik olaylarının iki farklı olayda 33 GB’tan fazla verinin sızmasına yol açtığının farkında olmasına rağmen, izinsiz giriş sonucu ortaya çıkan riskleri “varsayımsal” olarak tanımlamayı seçti.
Soruşturma ayrıca Avaya’nın, tehdit aktörünün şirketin e-posta mesajlarının “sınırlı sayıda”sına eriştiğini belirttiğini, ancak gerçekte saldırganların bulut ortamındaki en az 145 dosyaya da eriştiğinin farkında olduğunu ortaya çıkardı.
Check Point ve Mimecast’e gelince, SEC, ihlalden kaynaklanan riskleri genel hatlarıyla nasıl resmettikleri konusunda sorun yaşadı; Mimecast ayrıca tehdit aktörünün sızdırdığı kodun niteliğini ve tehdit aktörünün eriştiği şifrelenmiş kimlik bilgilerinin sayısını açıklamadı. .
Kripto Varlıklar ve Siber Birim başkan vekili Jorge G. Tenreiro, “Bu vakalardan ikisinde, ilgili siber güvenlik risk faktörleri, şirketlerin risklere ilişkin uyarıların zaten gerçekleştiğini bilmesi üzerine varsayımsal veya genel olarak çerçevelendi” dedi. “Federal menkul kıymetler kanunları yarı gerçekleri yasaklıyor ve risk faktörü açıklamalarında herhangi bir istisna bulunmuyor.”