Bir federal yargıç Perşembe günü hükümetin SolarWinds ve en üst düzey siber güvenlik yöneticisine karşı açtığı ve 2020'de ortaya çıkarılan, müşterileri, ABD hükümet kurumları dahil, ilgilendiren bir güvenlik ihlalinin ele alınışıyla ilgili önemli davanın bir kısmını reddetti.

ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), geçen yıl Teksas'ın Austin kentinde bulunan SolarWinds şirketini ve Bilgi Güvenliği Müdürü Tim Brown'u dava etmişti. Dava, bir siber saldırı riskinin güvenlik ihlali öncesinde nasıl sunulduğu ve yatırımcılara olay sonrasında verilen bilgilerle ilgiliydi. Bu, menkul kıymetler düzenleme kurumunun, bir siber saldırının kurbanı olan halka açık bir şirkete karşı en ciddi suçlama olan sivil sahtekarlık iddialarıyla ilk kez mahkemeye başvurusuydu.

Bazı Şirket Grupları ve Eski Savcılar, SEC'nin Saldırıya Uğrayan Şirketlere Yönelik Yaptırımlarını Eleştiriyor; SEC, Hissedarların Kamuya Açık Şirketlerin Saldırı Riskine Nasıl Tepki Verdiğini Bilme Hakkı Olduğunu Savunuyor

İşkanın Başlığı: SEC'nin SolarWinds'in Hissedarlara Saldırının Tam Kapsamını Açıklamadığı İddiasının "Gerçekleri Geriye Dönük Olarak İncelemek ve Spekülasyon" Olduğunu Yazdı, ABD Bölge Yargıcı Paul Engelmayer. Ancak Yargıç, SolarWinds'in Saldırı Öncesinde Siber Güvenlik Tedbirleri ve Riskleri Konusundaki Diğer İfadeleri Nedeniyle Davanın Devam Etmesine İzin Verdi.

ABD, daha sonra Rusya devleti destekli hackerları saldırıdan sorumlu tuttu. Moskova, herhangi bir katılımı reddetti.

SolarWinds'in Bir Sözcüsü, Şirketin Hakimin Kararından Memnun Olduğunu Söyledi. "İlk Defa Kendi Kanıtlarımızı Sunma ve Geriye Kalan İddianın Neden Gerçeğe Uygun Olmadığını Gösterme Fırsatını Elde Edeceğimiz Bir Sonraki Aşamayı Sabırsızlıkla Bekliyoruz," Dedi.

SEC yorum yapmayı reddetti.

SolarWinds Vakası, Üst Düzey Bir Siber Güvenlik Yöneticisini Hedef Alması Bakımından Alışılmadık Bir Durumdu.

Siber güvenlik uzmanları, ticaret birlikleri ve yöneticiler, Brown'a karşı açılan davanın, düzenleyicilerin artık siber güvenlik şeflerini kovuşturmaya hazır olduğunu gösterdiği konusunda endişelerini dile getirdiler. SEC'in davası, Uber Technologies'in eski Güvenlik Şefi Joseph Sullivan'ın 2016'daki veri ihlali sırasında yaptığı eylemlerle ilgili olarak suçlu engelleme nedeniyle mahkum edilmesinden kısa bir süre sonra açıldı ve benzer korkuları körükledi.

David Shargel, Bracewell Hukuk Bürosu Ortağı, SEC'in davalarının bir kısmının reddedilmesinin SolarWinds için "her açıdan bir zafer" olduğunu söyledi. Şirketler, SEC davalarına karşı sürecin bu kadar erken aşamasında nadiren kazanır.

„Bu kesinlikle ciddi bir suçlama olarak kalıyor ve şirketlerin kamuoyu önündeki açıklamalarının doğru ve yanıltıcı olmadığını sağlamaları gerektiğine dair bir hatırlatma görevi görüyor“ dedi.

SolarWinds'e karşı açılan davadan bu yana, şirketlerin siber saldırıları ne zaman ve nasıl açıklamaları gerektiğine dair SEC'in yeni kuralları yürürlüğe girdi. Halka açık şirketler, bir saldırının iş faaliyetlerine önemli etkileri olacağını belirledikten sonra en geç dört iş günü içinde SEC'e 8-K Formu sunarak saldırıyı bildirmek zorundalar. Şirketler ayrıca yıllık raporlarında siber risk yönetim süreçlerinin unsurlarını da açıklamalıdır.

Dikkate değer olan, Engelmayer'in SEC'in iddiasını da reddetmesi, SolarWinds'in şirketlerin muhasebe hatalarına karşı nasıl korunması gerektiğini belirleyen kuralları ihlal ettiğini söylemesiydi. Yargıç, siber güvenlik kontrollerinin bu sürecin bir parçası olmadığını belirtti. "Bu yorum sürdürülebilir değildir," diye yazan yargıç, kontrollerin açıkça sadece finansal muhasebe için geçerli olduğunu söyledi.

„Bence bu, bazı uyum departmanlarına açıklama yükümlülüklerinin parametreleri konusunda biraz güvenlik sağlayabilir“ dedi Shargel.

SolarWinds, daha önceki bir cevabında düzenleyici kurumları siber güvenlik alanındaki yetki alanlarını genişletmek istemekle suçlamıştı.