Site icon TechInside

SEC, SolarWinds yöneticilerini yatırımcıları yanıltmakla suçluyor!

ABD Menkul Kıymetler ve Borsa Komisyonu, SolarWinds ve üst düzey siber güvenlik yöneticisi Timothy Brown’ı, 2019 yılında Rus bilgisayar korsanları tarafından başlatılan bir siber saldırı öncesinde şirketin siber güvenlik uygulamaları hakkında yatırımcıları yanılttığı iddiasıyla dolandırıcılık ve iç kontrol başarısızlıklarıyla suçladı.

Pazartesi günü geç saatlerde yayınlanan bir açıklamada SEC, SolarWinds ve Brown’ın SolarWinds’in güvenlik uygulamalarındaki “belirli eksiklikleri” gizlediğini ve şirketin o sırada karşı karşıya olduğu artan riskleri bildiği halde SolarWinds’in “yalnızca genel ve varsayımsal riskleri açıklayarak yatırımcıları yanılttığını” söyledi.

SEC’ ilgili şirketi, kendi güvenlik uygulamaları da dahil olmak üzere, iç değerlendirmeleriyle “çelişen” iddialarda bulunmakla suçladı. SEC, şu anda SolarWinds’in baş bilgi güvenliği sorumlusu olarak görev yapan Brown’ın, saldırıdan önceki yıllarda şirketin güvenlik uygulamalarının “çok savunmasız bir durumda” olduğunu belirten sunumlar yaptığını dolayısıyla potansiyel riskleri bilmesine rağmen hem yeterli önlemleri almadığını hem de yatırımcıları yanılttığını ileri sürüyor.

SEC’in yaptırım birimini denetleyen Gurbir S. Grewal, SolarWinds ve Brown’ın “tekrarlanan kırmızı bayrakları görmezden geldiğini” ve “şirketin siber kontrol gücünü yanlış yansıtacak bir kampanya yürüttüğünü, böylece yatırımcıları doğru bilgilerden mahrum bıraktığını” söyledi.

Grewal, “Bugünkü yaptırım eylemi aslında SolarWinds ve Brown’ı yalnızca yatırım yapan halkı yanıltmak ve şirketin varlıklarını koruyamamakla suçlamakla kalmıyor, aynı zamanda ürün ihraç eden firmalar verdiğimiz mesajın altını çiziyor: risk ortamlarınıza göre kalibre edilmiş güçlü kontroller uygulayın ve bilinen endişeler hakkında yatırımcılarınızı mutlaka bilgilendirin” diyor.

SolarWinds açığı devlet kurumlarını riske atmıştı

SolarWinds, 2019 yılında Rusya’nın dış istihbarat servisiyle bağlantılı bir grup siber saldırgan tarafından hacklendi ve siber saldırganlar SolarWinds’in ağına girerek şirketin amiral gemisi Orion ağ yönetimi ürününün koduna bir arka kapı yerleştirdi. Bozuk Orion yazılımı SolarWinds’in müşterilerine bir yazılım güncellemesi olarak gönderildiğinde, bilgisayar korsanları özel şirketler ve federal kurumlar da dahil olmak üzere güvenliği ihlal edilmiş yazılımı çalıştıran her ağa erişim elde etti.

Saldırı neredeyse bir yıl sonra 2020’de keşfedildi ve bu sırada NASA, ABD İç Güvenlik ve Adalet Bakanlığı, çeşitli teknoloji şirketleri, üniversiteler ve hastaneler de dahil olmak üzere birçok ABD devlet dairesinin tehlikeye atıldığı doğrulandı. SEC, Kasım 2022’de SolarWinds’e siber saldırının ardından yaptırımla karşı karşıya olduğunu duyurdu ve şirketin siber güvenlik açıklamalarının ve kamuya açık beyanlarının inceleme altında olduğu uyarısında bulundu.

Şirket suçu stajyere attı

İhlalin ardından, eski SolarWinds CEO’su Kevin Thompson, bir güvenlik araştırmacısı tarafından keşfedilene kadar birkaç yıl boyunca SolarWinds dosya sunucusunda şu anda meşhur olan “solarwinds123” şifresini kullandığı için bir stajyeri suçladı. SEC, New York federal mahkemesinde yaptığı şikayette, bu şifrenin basitliğinin “şirketin belirtilen şifre karmaşıklığı gerekliliklerine uymadığını” ve bunun SolarWinds’in kamuya açık olarak yayınladığı güvenlik beyanıyla çeliştiğini söyledi. SEC, SolarWinds ve Brown’ın “parola sorunlarına ilişkin yanlış beyanları ve ihmallerinin yanlış ve yanıltıcı olduğunu” söyledi.

SEC’in duyurusundan kısa bir süre sonra yayınlanan bir blog yazısında SolarWinds CEO’su Sudhakar Ramakrishna ise SEC’i şirkete karşı “yanlış yönlendirilmiş ve uygunsuz bir yaptırım eylemi” başlatmakla suçladı ve “bu eyleme şiddetle karşı çıkacağını” söyledi. Brown’ın avukatlarından Alec Koch, Brown’ın itibarını savunmayı ve “SEC’in şikayetindeki yanlışlıkları düzeltmeyi” dört gözle beklediğini söyledi.

Exit mobile version