bencede
New member
ABD Sermaye Piyasası Otoritesi'nden (SEC) Jorge G. Tenreiro, Listelenen Şirketler Sicilinde “Önemli siber güvenlik ihlallerinin kapsamını en aza indirmek kötü bir stratejidir” diye yazıyor. Ajans, Solarwinds Orion aracılığıyla yapılan saldırıların etkisini küçümsediği için Unisys, Avaya, Check Point ve Mimecast'i cezalandırdı. Tenreiro, SEC'in (Menkul Kıymetler Borsası Komisyonu) Kripto Varlıklar ve Siber Biriminin (CACU) başkan vekili olarak görev yapıyor.
Duyuru
İddia edilen Rus devlet korsanları, 2019 yılında SolarWinds'in Orion platformunu tehlikeye atmayı ve bir Truva atını resmi güncellemelere gizlice sokmayı başardılar. SolarWinds, dünya çapında 300.000'den fazla müşterinin kullandığı ağ ve güvenlik ürünlerini satmaktadır. Buna birçok Fortune 500 şirketi, ABD Ordusu, Pentagon ve Dışişleri Bakanlığı gibi devlet kurumları da dahildir. Mart 2020'den itibaren güncellemelerin yüklenmesiyle sistemleri tehlikeye girdi. Fireeye, 2020'nin sonlarında arka kapıları keşfetti. Şubat 2021'de Microsoft Başkanı Brad Smith, “dünyanın şimdiye kadar gördüğü en büyük ve en karmaşık saldırıdan” bahsetti.
Unisys, otoritenin başka suiistimalleri ortaya çıkarması nedeniyle en yüksek ceza olan 4 milyon ABD dolarını ödemek zorunda kaldı: hissedarlara, alacaklılara ve potansiyel yatırımcılara yasal olarak gerekli olan açıklamaların iç kontrolü yetersizdi. SEC'e göre bunun nedeni, Solarwinds hırsızlarının Unisys sistemlerine erişmeyi ve verileri yalnızca bir kez değil iki kez çalmayı başarmış olmasına rağmen, Unisys'in BT güvenlik risklerini tamamen varsayımsal olarak tanımlamasıdır.
Avaya bir milyon dolar ödüyor. Birleşik iletişim hizmetlerinde uzmanlaşan şirket, faillerin “sınırlı sayıda şirket e-postasına” erişimlerinin olduğunu itiraf etti. Ne yazık ki Avaya, hırsızların bulut tabanlı dosya paylaşımında en az 145 dosyaya da müdahale ettiğini belirtmeyi unuttu.
“Yasaklanmış yarı gerçekler”
Check Point Yazılım Teknolojileri ve Mimecast'in her birinin yaklaşık 1 milyon dolar aktarması gerekiyor. İsrail-Amerikan siber güvenlik şirketi Check Point, sistemlerine yapılan başarılı izinsiz girişlerin farkındaydı. Ancak genel hatlarıyla konuşmak yerine hırsızlıkları ve risklerini genel hatlarıyla anlattı. Mimecast bir saldırıyı ortaya çıkardı ancak etkinin gerçekte olduğundan daha küçük görünmesini sağladı. Şirketin merkezi Jersey'de bulunuyor ve Google ve Microsoft bulut hizmetleri için e-posta yönetimi sunuyor. SEC'in bulgularına göre Mimecast'in, suçluların hangi kaynak kodlarını kopyaladıklarını ve ne ölçüde şifreli erişim verilerini elde ettiklerini ortaya çıkarmış olması gerekirdi.
Cezalar ABD sermaye piyasası yasalarının ihlaline dayanıyor ve çok daha yüksek olabilirdi. Ancak dört bilişim şirketi SEC ile iş birliği yaparak soruşturmayı analizler veya sunumlarla gönüllü olarak destekledi ve siber güvenliklerini iyileştirmek için kendi inisiyatifleriyle adımlar attı. Ayrıca yaptırımları ve şartlı tedbir kararlarını da kabul ediyorlar.
Cezanın nedeni hırsızlık değil, bunların yetersiz ifşa edilmesidir. SEC'in geçici uygulama bölümü başkanı Sanjay Wadhwa, “Halka açık şirketler siber saldırıların hedefi olduğunda, meydana gelen siber güvenlik olayları hakkında yanıltıcı açıklamalar yaparak hissedarlarını ve yatırımcıların diğer üyelerini daha fazla mağdur etmemeliler” dedi. . Tenreiro, “ABD menkul kıymetler kanunu yarı gerçekleri yasaklıyor” diye ekliyor ve “risk faktörü bilgilerinin ifşa edilmesi konusunda herhangi bir muafiyet yok.”
SEC işlemlerinin dosya numaraları 3-22272 (Unisys), 3-22269 (Avaya), 3-22270 (Check Point) ve 3-22271 (Mimecast) şeklindedir.
(ds)
Duyuru
İddia edilen Rus devlet korsanları, 2019 yılında SolarWinds'in Orion platformunu tehlikeye atmayı ve bir Truva atını resmi güncellemelere gizlice sokmayı başardılar. SolarWinds, dünya çapında 300.000'den fazla müşterinin kullandığı ağ ve güvenlik ürünlerini satmaktadır. Buna birçok Fortune 500 şirketi, ABD Ordusu, Pentagon ve Dışişleri Bakanlığı gibi devlet kurumları da dahildir. Mart 2020'den itibaren güncellemelerin yüklenmesiyle sistemleri tehlikeye girdi. Fireeye, 2020'nin sonlarında arka kapıları keşfetti. Şubat 2021'de Microsoft Başkanı Brad Smith, “dünyanın şimdiye kadar gördüğü en büyük ve en karmaşık saldırıdan” bahsetti.
Unisys, otoritenin başka suiistimalleri ortaya çıkarması nedeniyle en yüksek ceza olan 4 milyon ABD dolarını ödemek zorunda kaldı: hissedarlara, alacaklılara ve potansiyel yatırımcılara yasal olarak gerekli olan açıklamaların iç kontrolü yetersizdi. SEC'e göre bunun nedeni, Solarwinds hırsızlarının Unisys sistemlerine erişmeyi ve verileri yalnızca bir kez değil iki kez çalmayı başarmış olmasına rağmen, Unisys'in BT güvenlik risklerini tamamen varsayımsal olarak tanımlamasıdır.
Avaya bir milyon dolar ödüyor. Birleşik iletişim hizmetlerinde uzmanlaşan şirket, faillerin “sınırlı sayıda şirket e-postasına” erişimlerinin olduğunu itiraf etti. Ne yazık ki Avaya, hırsızların bulut tabanlı dosya paylaşımında en az 145 dosyaya da müdahale ettiğini belirtmeyi unuttu.
“Yasaklanmış yarı gerçekler”
Check Point Yazılım Teknolojileri ve Mimecast'in her birinin yaklaşık 1 milyon dolar aktarması gerekiyor. İsrail-Amerikan siber güvenlik şirketi Check Point, sistemlerine yapılan başarılı izinsiz girişlerin farkındaydı. Ancak genel hatlarıyla konuşmak yerine hırsızlıkları ve risklerini genel hatlarıyla anlattı. Mimecast bir saldırıyı ortaya çıkardı ancak etkinin gerçekte olduğundan daha küçük görünmesini sağladı. Şirketin merkezi Jersey'de bulunuyor ve Google ve Microsoft bulut hizmetleri için e-posta yönetimi sunuyor. SEC'in bulgularına göre Mimecast'in, suçluların hangi kaynak kodlarını kopyaladıklarını ve ne ölçüde şifreli erişim verilerini elde ettiklerini ortaya çıkarmış olması gerekirdi.
Cezalar ABD sermaye piyasası yasalarının ihlaline dayanıyor ve çok daha yüksek olabilirdi. Ancak dört bilişim şirketi SEC ile iş birliği yaparak soruşturmayı analizler veya sunumlarla gönüllü olarak destekledi ve siber güvenliklerini iyileştirmek için kendi inisiyatifleriyle adımlar attı. Ayrıca yaptırımları ve şartlı tedbir kararlarını da kabul ediyorlar.
Cezanın nedeni hırsızlık değil, bunların yetersiz ifşa edilmesidir. SEC'in geçici uygulama bölümü başkanı Sanjay Wadhwa, “Halka açık şirketler siber saldırıların hedefi olduğunda, meydana gelen siber güvenlik olayları hakkında yanıltıcı açıklamalar yaparak hissedarlarını ve yatırımcıların diğer üyelerini daha fazla mağdur etmemeliler” dedi. . Tenreiro, “ABD menkul kıymetler kanunu yarı gerçekleri yasaklıyor” diye ekliyor ve “risk faktörü bilgilerinin ifşa edilmesi konusunda herhangi bir muafiyet yok.”
SEC işlemlerinin dosya numaraları 3-22272 (Unisys), 3-22269 (Avaya), 3-22270 (Check Point) ve 3-22271 (Mimecast) şeklindedir.
(ds)