SEC, Yanıltıcı SolarWinds Siber Saldırı Açıklamaları Nedeniyle 4 Şirketi Suçladı

SEC, Avaya, Check Point, Mimecast ve Unisys şirketlerinin, SolarWinds Orion yazılım tedarik zinciri olayının ardından ifşa sürecini nasıl ele aldıkları ve ihlalin kapsamını küçümsedikleri ve böylece 1933 tarihli Menkul Kıymetler Yasası, 1934 tarihli Menkul Kıymetler Borsası Yasası ve bunların altındaki ilgili kuralları ihlal ettikleri için cezalandırıldığını söyledi.

Bu amaçla Avaya 1 milyon dolar para cezası ödeyecek, Check Point 995.000 dolar ödeyecek, Mimecast 990.000 dolar ödeyecek ve Unisys ücretleri ödemek için 4 milyon dolar ödeyecek. Buna ek olarak, SEC, Unisys'i ifşa kontrolleri ve prosedür ihlalleri ile suçladı.

SEC'in İcra Bölümü Müdür Vekili Sanjay Wadhwa, "Halka açık şirketler siber saldırıların hedefi haline gelse de, karşılaştıkları siber güvenlik olayları hakkında yanıltıcı açıklamalar yaparak hissedarlarını veya yatırımcı halkın diğer üyelerini daha fazla mağdur etmemeleri zorunludur" dedi.

"Burada, SEC'in emirleri, bu şirketlerin söz konusu olaylar hakkında yanıltıcı açıklamalar yaptığını ve yatırımcıları olayların gerçek kapsamı hakkında karanlıkta bıraktığını tespit ediyor."

SEC'e göre, dört şirket de SolarWinds Orion hack'inin arkasındaki Rus tehdit aktörlerinin sistemlerine yetkisiz bir şekilde eriştiğini öğrendi, ancak kamuya açıklamalarında olayın kapsamını en aza indirmeyi seçti.

Bağımsız federal ajans Unisys, siber güvenlik olaylarının iki farklı durumda 33 GB'tan fazla verinin sızdırılmasına yol açtığının farkında olmasına rağmen, izinsiz giriş sonucunda ortaya çıkan riskleri "varsayımsal" olarak tanımlamayı seçtiğini söyledi.

Soruşturma ayrıca Avaya'nın, tehdit aktörünün şirketin e-posta mesajlarının "sınırlı sayıda" eriştiğini belirttiğini, ancak gerçekte saldırganların bulut ortamındaki en az 145 dosyaya da eriştiğinin farkında olduğunu ortaya koydu.

Check Point ve Mimecast'e gelince, SEC, ihlalden kaynaklanan riskleri geniş vuruşlarla nasıl boyadıklarına itiraz etti ve ikincisi, tehdit aktörünün sızdırdığı kodun doğasını ve tehdit aktörünün eriştiği şifreli kimlik bilgilerinin sayısını da açıklamadı.

Kripto Varlıklar ve Siber Birim başkan vekili Jorge G. Tenreiro, "Bu vakalardan ikisinde, ilgili siber güvenlik risk faktörleri, şirketler uyarılan risklerin zaten gerçekleştiğini bildiklerinde varsayımsal veya genel olarak çerçevelendi" dedi. "Federal menkul kıymetler yasaları yarı gerçekleri yasaklıyor ve risk faktörü açıklamalarındaki ifadeler için bir istisna yok."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği