ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), dün SolarWinds Corp. ve Baş Bilgi Güvenliği Sorumlusu Timothy Brown’a, “Sunburst” olarak bilinen yaklaşık iki yıl süren bir siber saldırıya yol açan güvenlik hatalarını gizledikleri iddiasıyla dava açtı. Rus bilgisayar korsanları tarafından gerçekleştirildiği iddia edilen saldırıda, ABD devlet kurumları ve özel şirketler de dahil olmak üzere binlerce müşteri tarafından kullanılan SolarWinds ağ yönetimi yazılımına kötü amaçlı kod yerleştirilmişti.
SEC davasında şu iddialar ileri sürüldü ;
“SolarWinds ve Brown, Ekim 2018’deki ilk halka arzından Ocak 2021’e kadar, SolarWinds’in yatırımcılarını ve müşterilerini, hem Şirketin zayıf siber güvenlik uygulamalarını hem de artan ve çoğalan siber güvenlik risklerini gizleyen yanlış beyanlar, ihmaller ve planlar yoluyla dolandırdı.
SolarWinds’in siber güvenlik uygulamaları ve riskleri hakkındaki kamuya açık beyanları, Şirketin siber güvenlik politikası ihlalleri, güvenlik açıkları ve siber saldırılarla ilgili şirket içi tartışmalardan ve değerlendirmelerden tamamen farklı bir tablo çizdi.”
SEC, şirkete ve Brown’a New York Güney Bölgesi ABD Bölge Mahkemesinde dava açtı. SEC, “haksız kazançların” geri ödenmesini, hukuki para cezaları verilmesini ve Brown’un menkul kıymet ihraç eden herhangi bir şirkette yönetici veya yönetici olarak görev yapmasının kalıcı olarak yasaklanmasını istiyor.
“SolarWinds ve Brown’un, SolarWinds’in siber riskleriyle ilgili tekrarlanan uyarı işaretlerini yıllardır görmezden geldiğini ve bunun şirket genelinde iyi bilindiğini ve Brown’ın astlarından birinin şu sonuca varmasına yol açtığını iddia ediyoruz: ‘Güvenlik odaklı bir şirket olmaktan çok uzağız.'”
Şirket,” SEC İcra Dairesi Direktörü Gurbir Grewal bir basın açıklamasında şunları söyledi .
“SolarWinds ve Brown, bu güvenlik açıklarını ele almak yerine, şirketin siber kontrol ortamına ilişkin yanlış bir resim çizmek ve böylece yatırımcıları doğru maddi bilgilerden mahrum bırakmak için bir kampanya başlattı.”
Firma, güvenliği ihlal edilmiş yazılımı 18.000 müşteriye sattı. SEC, SolarWinds ve Brown’ın 1933 Menkul Kıymetler Yasası ve 1934 Menkul Kıymetler Borsası Yasası’nın dolandırıcılıkla mücadele hükümlerini ihlal ettiğini; SolarWinds’in Borsa Yasası’nın raporlama ve iç kontrol hükümlerini ihlal ettiğini ve Brown’un şirketin ihlallerine yardım ve yataklık ettiğini iddia ediyor.
Brown, Temmuz 2017 ile Aralık 2020 arasında SolarWinds’in Güvenlik ve Mimariden Sorumlu Başkan Yardımcısı ve Bilgi Güvenliği grubunun başkanıydı ve Ocak 2021’den bu yana Teksas merkezli şirketin CISO’su olarak görev yapıyor.
SolarWinds, Aralık 2020’de SEC’e yaptığı başvuruda, şirketin gelirinin yüzde 45’ini oluşturan bir ürün grubu olan Orion izleme yazılımına bir güvenlik açığı ekleyen bir siber saldırıdan haberdar edildiğini kabul etti. SEC davası, saldırının Ocak 2019’da “tehdit aktörlerinin yönetilmeyen bir cihaz kullanarak SolarWinds sistemlerine VPN aracılığıyla erişerek” onlara “SolarWinds sistemlerine geniş, tespit edilmeden erişim” sağladığında devam ettiğini belirtti. Saldırganların Ocak 2019’dan önce erişime sahip olup olmadığı bilinmiyor.
SEC davasında,
“Tehdit aktörleri erişimlerini kullanarak SolarWinds’in Orion ürünlerine yönelik üç yazılım yapısına kötü amaçlı kod yerleştirdiler. SolarWinds daha sonra ele geçirilen bu ürünleri dünya genelinde 18.000’den fazla müşteriye teslim etti. Kötü amaçlı kod, tehdit aktörlerine, diğer bazı koşulların karşılanması koşuluyla, tehlikeye atılan bu müşterilerin sistemlerine erişim yeteneği sağladı ve Sunburst saldırısı olarak bilinmeye başlandı. “
Davayı özetleyen SEC basın açıklamasında, SolarWinds’in SEC başvurularının, şirket ve Brown’un SolarWinds’in siber güvenlik uygulamalarındaki belirli eksikliklerin yanı sıra şirketin karşı karşıya olduğu giderek artan riskleri bildiği bir dönemde yalnızca genel ve varsayımsal riskleri açıklayarak yatırımcıları yanılttığı belirtildi.
Kaynak : 