Bir yargıç, Menkul Kıymetler ve Borsa Komisyonu’nun (SEC) SolarWinds ve şirketin baş bilgi güvenliği sorumlusu (CISO) Tim Brown aleyhine açtığı davaların önemli bir kısmını reddetti ve şirketin amiral gemisi ürünü Orion’un ihlal edilmesinden sonra yapılan açıklamalar ve dosyalamalar nedeniyle sorumlu tutulamayacaklarına karar verdi.
Ancak SEC, kendi işlemlerine devam edebilir. SolarWinds ve Brown’a karşı suçlama ABD Bölge Mahkemesi Yargıcı Paul A. Engelmayer’in 18 Temmuz’da yayınladığı karara göre, siber saldırıya kadar şirketin siber güvenlik duruşu hakkında yapılan yanlış beyanlar nedeniyle. Mahkeme dosyalarında siber olaydan “Sunburst” olarak bahsediliyor.
Karar, SolarWinds’in SEC davasının reddedilmesi yönündeki önerge Bu yılın Ocak ayında dosyalandı.
SolarWinds Bilgi Paylaşımı “Haklı Çıktı”
Hukuk ve siber güvenlik uzmanları, kararın diğer halka açık şirketlere siber güvenlik olaylarının ifşa edilmesine ilişkin düzenlemelerle nasıl başa çıkacakları konusunda rehberlik sağlaması açısından olumlu bir adım olduğunu söylüyor.
“Hem bir olayı araştırmak hem de önemlilik açıklaması yapmak için acele eden halka açık şirketler için, mahkemenin görüşü açıklamanın bütününün ince ayrıntılara üstün gelmesini sağlıyor,” diyor Woods, Rogers, Vandeventer, Black PLC’den siber avukat Beth Burgin Waller. “Bu karar, SolarWinds’in olaydan sonra siber güvenlik topluluğuyla bilgi paylaşımını haklı çıkarıyor.”
Karar pek çok şeyi ortadan kaldırırken, SolarWinds ve Brown’a karşı suçlamalarSEC’nin, şirketin siber güvenlik duruşu hakkında ihlalden önce yapılan açıklamalar ve diğer iddialar için işlem yapmasına izin verilecek. Şirketin güvenlik duruşu hakkında ihlalden önce yapılan açıklamalar ve ifadeler “birçok açıdan önemli ölçüde yanlış ve yanıltıcı olarak geçerli bir şekilde ileri sürülmektedir” diye yazdı yargıç.
Brown, SolarWinds’e 2017’de katıldıktan sonra, müşterilere daha olumlu değerlendirmeler sunarken şirketin savunmalarındaki eksiklikleri dahili olarak vurguladı, kararda açıklandı. Özellikle, SolarWinds “Güvenlik Beyanı” Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Siber Güvenlik Çerçevesi’ne uyum konusunda yanlış iddialarda bulundu.
SolarWinds sözcüsü yaptığı açıklamada, şirketin karardan “memnun” olduğunu söyledi.
“İlk kez kendi kanıtlarımızı sunma ve kalan iddianın neden gerçek dışı olduğunu gösterme fırsatına sahip olacağımız bir sonraki aşamayı sabırsızlıkla bekliyoruz,” ifadeleri kullanıldı. “Ayrıca, müşterilerimizden, siber güvenlik uzmanlarından ve endişelerimizi dile getiren kıdemli hükümet yetkililerinden bugüne kadar aldığımız destek için minnettarız ve mahkeme de bizimle aynı fikirde.”
CISO Sıcak Görüşleri
Weave’in CISO’su Jessica Sica, mahkemenin SolarWinds çalışanları arasındaki dahili iletişim kanıtlarını çöpe atma kararından özellikle cesaret aldı.
“Dahili olarak, güvenlik durumunu – iyi veya kötü – tartışabilmeniz ve sanki işinizi yapmıyormuşsunuz gibi dışarı sızmamanız gerekir,” diyor Sica. “SEC’in bu kısmı içeride tutması, daha fazla şirketin güvenlik konusunda bir tür ‘sorma, söyleme’ politikasına sahip olmasına yol açabilirdi ve bu da işleri çok daha kötü hale getirirdi.”
DeVry Üniversitesi Başkan Yardımcısı ve CISO’su Dr. Fred Kwong’a göre, mahkeme kararı ayrıca CISO’lar üzerindeki bazı kısıtlamaları da gevşetiyor.
“CISO’ları, özellikle de yönetim kurulunda bir pozisyon tutmayan CISO’ları kişisel olarak sorumlu tutmak son derece hatalıdır ve ters etki yaratacak ve kuruluşların güvenlik duruşunu zayıflatacak bir emsal teşkil ederdi,” diyor Kwong. “Her ne kadar tehlikeden uzak olmasak da, mahkemenin suçlamaların çoğunu, özellikle de Sunburst sonrası suçlamaları reddettiğini görmek beni mutlu ediyor.”
SEC’in SolarWinds ve Brown’a karşı açtığı davanın nihai sonucu ne olursa olsun, Sica, diğer CISO’ları şeffaf olmaya devam etmeye çağırıyor.
“Bence bu, güvenlik duruşunuz hakkında dürüst olmanız gerektiği gerçeğini değiştirmiyor ve bu iyi bir şey,” diyor Sica. “Eğer bunu yaptığınızı kamuoyuna duyuruyorsanız.”
“Sunburst sonrası ifşalara gelince, Mahkeme tüm iddiaları reddediyor,” dedi kararda. “Bunlar şirketin siber güvenlik saldırısına ilişkin raporlamasında dava edilebilir eksiklikleri makul bir şekilde ileri sürmüyor. Bunlar izinsiz bir şekilde geriye dönük görüşe ve spekülasyona dayanıyor.”