Güvenlik ve Takas Komisyonu (SEC), SolarWinds Corp.'u, CISO'su Tim Brown ile birlikte, şirketin Orion Platformunda 2020 tedarik zinciri siber saldırısıyla ilgili dolandırıcılık ve iç kontrol başarısızlıklarıyla suçladı; sonuçta ABD hükümet dairelerinin Rus istihbaratı tarafından ele geçirilmesine yol açtı.
Suçlamalar şimdiden CISO topluluğuna şok dalgaları gönderiyor.
SEC'e göre sorun, Brown ile diğerlerinin yaptıkları arasındaki tutarsızlık. SolarWinds Çalışanlar yatırımcılara açıkladıklarının aksine şirket içinde söylüyorlardı.
Dahili mesajlar, Orion'daki güvenlik açığının keşfedilmesinin ardından çalışanların müşterileri yanılttıklarını gayet iyi bildiklerini ortaya çıkardı. SEC şikayetinde açıkladı.
“Evet, sadece yalan söyledim”
SEC Şikayeti, "Ekim 2020'de Siber Güvenlik Firması B'ye yapılan saldırıdan kısa bir süre sonra, Brown da dahil olmak üzere SolarWinds çalışanları, ABD Devlet Kurumu A'ya yapılan saldırı arasındaki benzerlikleri fark etti" dedi. “Ancak Siber Güvenlik Firması B personeli SolarWinds çalışanlarına daha önce benzer bir faaliyet görüp görmediklerini sorduğunda InfoSec Çalışanı F, Siber Güvenlik Firması B'ye görmediklerini yanlış bir şekilde söyledi. Daha sonra bir meslektaşına 'Ben sadece yalan söyledim' diye mesaj attı.”
Ancak düzenleyiciye göre SolarWinds'te uygun siber güvenlik kontrollerinin uygulanmaması 2018'de başladı. SEC, Brown'un şirketin güvenlik açıklarıyla ilgili uyarılardan haberdar olduğunu ancak bunları göz ardı ettiğini iddia ediyor; buna bir SolarWinds mühendisinin 2018'de yaptığı, şirketin uzaktan erişim kurulumunu "pek güvenli değil" olarak işaretleyen ve bir tehdit aktörünün bunu şu amaçlarla kullanabileceğini açıklayan bir sunum da dahil: " dosyada, temelde biz fark etmeden her şeyi çok geç olana kadar yapın" denildi.
SEC, Brown'un şirketin siber güvenlik duruşuyla ilgili bu uyarıları göz ardı ederek ve sorunu emir komuta zincirinde yukarıya taşımayarak şirket sistemlerini kasıtlı olarak korumasız bıraktığını iddia ediyor.
Brown Şişirilmiş SolarWinds Hisselerini Satmakla Suçlandı
SolarWinds, Aralık 8'de SEC'ye eksik bir 2020-K açıklaması sundu ve suçlamalara göre Brown, şişirilmiş hisse senedi fiyatından kişisel olarak kâr elde etti.
SEC, "SolarWinds hisse senedi fiyatı, bu Şikayette tartışılan yanlış beyanlar, ihmaller ve planlar nedeniyle şişirildi" dedi.
SEC ayrıca Brown'u, uzlaşmanın tüm etkisi kamuoyuna açıklandıktan sonra değeri düşmeden şişirilmiş SolarWinds hisselerini satmakla suçladı. SEC tarafından sağlanan New York Menkul Kıymetler Borsası Kayıtlarına göre Brown, Şubat 2020 ile Ağustos 2020 sonu arasında 9,000 SolarWinds hissesini 170,000 $ kârla sattı. Aralık 2020'nin sonunda SolarWinds'in hisse senedi fiyatı %35 düştü.
Diğer suçlamalar arasında SolarWinds'in, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) çerçevesi gibi programların tamamen yürürlükte olduğunu, ancak aslında yalnızca kısmen uygulandığını belirterek siber güvenlik uygulamaları hakkında "maddi olarak yanlış ve yanıltıcı açıklamalar" yapması yer alıyor.
SolarWinds, Brown Mahkemede Savaşmaya Yemin Ediyor
Yanıt olarak SolarWinds, ileride bir mahkeme mücadelesi sözü verdi.
"Bir SolarWinds sözcüsü Dark Reading'e yaptığı açıklamada, SEC'in bir Amerikan şirketine yönelik bir Rus siber saldırısıyla ilgili asılsız suçlamalarından dolayı hayal kırıklığına uğradık ve bu eylemin ulusal güvenliğimizi riske atacağından derin endişe duyuyoruz" dedi. “SEC'in bize ve CISO'muza karşı dava açma kararlılığı, kurumun aşırı müdahalesinin bir başka örneğidir ve ülke çapındaki tüm kamu şirketlerini ve kararlı siber güvenlik profesyonellerini alarma geçirmelidir. Mahkemede gerçeği açıklamayı ve Güvenli Tasarım taahhütlerimiz aracılığıyla müşterilerimizi desteklemeye devam etmeyi sabırsızlıkla bekliyoruz.”
Brown'ın avukatı Alec Koch da benzer şekilde müvekkilini güçlü bir şekilde savunacağına söz verdi.
Koch yaptığı açıklamada, "Tim Brown, SolarWinds'te bilgi güvenliğinden sorumlu başkan yardımcısı ve daha sonra bilgi güvenliği şefi olarak sorumluluklarını titizlikle, dürüstlükle ve ayrıcalıkla yerine getirdi" dedi. "Bay. Brown, SolarWinds'te geçirdiği süre boyunca Şirketin siber güvenlik duruşunu sürekli olarak iyileştirmek için yorulmadan ve sorumlu bir şekilde çalıştı ve biz onun itibarını savunmayı ve SEC'in şikayetindeki yanlışlıkları düzeltmeyi sabırsızlıkla bekliyoruz."
CISO'lar Fallout'a Hazırlanıyor
CISO'nun sorumluluğu Bu, siber güvenlik topluluğunun geçtiğimiz yıl yakından izlediği bir konu. SEC'in Brown ve SolarWinds'e yönelik yeni suçlamaları, bir yargıcın Uber CISO Jake Sullivan'ı 2016'daki bir olayın örtbas edilmesindeki rolü nedeniyle üç yıl denetimli serbestlik cezasına çarptırmasının hemen ardından geldi. Uber'de veri ihlali ve gelecekte daha sert cezalar vaat ediyor.
Amtrak CISO'su Jesse Whaley, SolarWinds SEC suçlamasının CISO rolünü daha geniş anlamda nasıl etkileyeceğinden henüz tam olarak emin değil.
Whaley, "Ya gerçekten iyi ya da gerçekten kötü" diyor. "Bu, siber güvenliği ilerletmek için bir on yıl daha devam eden ihlallerden daha fazlasını yapabilir."
Öte yandan Whaley, SEC'in Brown'ı suçlayarak gerçekten doğru şeyi yapıp yapmadığını merak ediyor ve şirketin mali işler müdürü veya genel danışmanının neden iddianamede yer almadığına dair soruları olduğunu da sözlerine ekledi.
Weave'in CISO'su Jessica Sica, SEC'in Brown'ı suçlama yönündeki hamlesinin daha fazla insanı CISO rolünden uzaklaştıracağından endişe ediyor.
Sica, "Bunun muhtemelen caydırıcı bir etkisi olacak, bunu zaten CISO'ların işlerini bırakıp satıcılar için saha CISO'ları haline gelmeleriyle görüyoruz" diyor.
Kendisi, CISO'lar için giderek daha ciddi hale gelen sorunun, neredeyse hiçbirinin işlerini yapmak için ihtiyaç duyduğu kaynaklara sahip olmaması olduğunu açıklıyor.
"Bence asıl endişe, SEC ve diğer kuruluşların CISO'ları işi yapmak için ihtiyaç duydukları kaynakları alamamalarından kaynaklanan ihlallerden sorumlu tutmaya başlayacakları mı?" Sica soruyor.
Ancak açıklamalar açısından gerçeği söylemenin her zaman en akıllıca hareket olduğunu ekliyor. “Yalan söyleme. Üzerini örtmeyin ve işinizi etkileyen en kritik sorunları düzelttiğinizden emin olun," diye tavsiyede bulunuyor Sica.
Siber güvenlik uzmanı Jake Williams, CISO'ların gelecekte yayınlayacakları aşırı iyimser bir dil içerebilecek açıklamalar konusunda da çok dikkatli olmaları gerektiğini tavsiye ediyor.
Williams, "CISO sıklıkla işleyen bir programın varlığını ima eden bir beyanı imzalamaya zorlanır" diyor. “Halka açık şirketlerle bile çalıştım ve hâlâ planlama aşamasında olan bir programı, sanki tamamen uygulanmış gibi halka açık olarak tartıştım. Kısa vadede bu tür kelime oyunlarını oynayacak bir CISO bulabileceğinizi sanmıyorum.”
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/attacks-breaches/sec-charges-against-solarwinds-ciso-send-shockwaves-through-security-ranks
