SEC, Yanıltıcı SolarWinds Siber Saldırı Açıklamaları Nedeniyle 4 Şirketi Suçladı
ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), 2020'de SolarWinds'in hacklenmesinden kaynaklanan büyük ölçekli siber saldırıyla ilgili "önemli ölçüde yanıltıcı açıklamalar" yapmakla dört mevcut ve eski halka açık şirketi suçladı.
SEC, Avaya, Check Point, Mimecast ve Unisys şirketlerinin, SolarWinds Orion yazılım tedarik zinciri olayının ardından ifşa sürecini nasıl ele aldıkları ve ihlalin kapsamını küçümsedikleri ve böylece 1933 tarihli Menkul Kıymetler Yasası, 1934 tarihli Menkul Kıymetler Borsası Yasası ve bunların altındaki ilgili kuralları ihlal ettikleri için cezalandırıldığını söyledi.
Bu amaçla Avaya 1 milyon dolar para cezası ödeyecek, Check Point 995.000 dolar ödeyecek, Mimecast 990.000 dolar ödeyecek ve Unisys ücretleri ödemek için 4 milyon dolar ödeyecek. Buna ek olarak, SEC, Unisys'i ifşa kontrolleri ve prosedür ihlalleri ile suçladı.
SEC'in İcra Bölümü Müdür Vekili Sanjay Wadhwa, "Halka açık şirketler siber saldırıların hedefi haline gelse de, karşılaştıkları siber güvenlik olayları hakkında yanıltıcı açıklamalar yaparak hissedarlarını veya yatırımcı halkın diğer üyelerini daha fazla mağdur etmemeleri zorunludur" dedi.
"Burada, SEC'in emirleri, bu şirketlerin söz konusu olaylar hakkında yanıltıcı açıklamalar yaptığını ve yatırımcıları olayların gerçek kapsamı hakkında karanlıkta bıraktığını tespit ediyor."
SEC'e göre, dört şirket de SolarWinds Orion hack'inin arkasındaki Rus tehdit aktörlerinin sistemlerine yetkisiz bir şekilde eriştiğini öğrendi, ancak kamuya açıklamalarında olayın kapsamını en aza indirmeyi seçti.
Bağımsız federal ajans Unisys, siber güvenlik olaylarının iki farklı durumda 33 GB'tan fazla verinin sızdırılmasına yol açtığının farkında olmasına rağmen, izinsiz giriş sonucunda ortaya çıkan riskleri "varsayımsal" olarak tanımlamayı seçtiğini söyledi.
Soruşturma ayrıca Avaya'nın, tehdit aktörünün şirketin e-posta mesajlarının "sınırlı sayıda" eriştiğini belirttiğini, ancak gerçekte saldırganların bulut ortamındaki en az 145 dosyaya da eriştiğinin farkında olduğunu ortaya koydu.
Check Point ve Mimecast'e gelince, SEC, ihlalden kaynaklanan riskleri geniş vuruşlarla nasıl boyadıklarına itiraz etti ve ikincisi, tehdit aktörünün sızdırdığı kodun doğasını ve tehdit aktörünün eriştiği şifreli kimlik bilgilerinin sayısını da açıklamadı.
Kripto Varlıklar ve Siber Birim başkan vekili Jorge G. Tenreiro, "Bu vakalardan ikisinde, ilgili siber güvenlik risk faktörleri, şirketler uyarılan risklerin zaten gerçekleştiğini bildiklerinde varsayımsal veya genel olarak çerçevelendi" dedi. "Federal menkul kıymetler yasaları yarı gerçekleri yasaklıyor ve risk faktörü açıklamalarındaki ifadeler için bir istisna yok."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Penn State, Savunma Bakanlığı ve NASA Siber Güvenlik Gereksinimlerine Uyulmaması Üzerine 1.25 Milyon Dolara Razı Oldu
Landmark Admin, 800.000 Kişiyi Etkileyen Veri İhlalini Açıkladı
Change Healthcare fidye yazılımı saldırısı 100 milyon kişiyi etkiliyor
SEC, Yanıltıcı SolarWinds Siber Saldırı Açıklamaları Nedeniyle 4 Şirketi Suçladı
İrlandalı gözlemci, GDPR ihlalleri nedeniyle LinkedIn'e 310 milyon Euro rekor para cezası verdi
Crypt Ghouls, LockBit 3.0 ve Babuk Fidye Yazılımı Saldırılarıyla Rus Firmalarını Hedef Alıyor
AB Mahkemesi, Meta'nın Kişisel Facebook Verilerini Hedefli Reklamlar İçin Kullanmasını Sınırladı
ABD, Büyük Dezenformasyon Baskısında 32 Rus Yanlısı Propaganda Alanını Ele Geçirdi