SEC, SolarWinds saldırısının etkilerini küçümseyen siber güvenlik devlerine para cezası verdi

Yayınlandı:
SEC, SolarWinds saldırısının etkilerini küçümseyen siber güvenlik devlerine para cezası verdi:

Dört büyük güvenlik şirketi, SolarWinds Orion ihlalinin sistemleri üzerindeki etkisini küçümsedikleri gerekçesiyle suçlandı . Bu eylem, 1933 Menkul Kıymetler Kanunu ve 1934 Menkul Kıymetler Borsası Kanunu'nun bazı hükümlerini ve diğer ilgili kuralları ihlal ediyordu.

ABD Menkul Kıymetler ve Borsa Komisyonu, Unisys Corp., Avaya Holdings Corp., Check Point Software Technologies Ltd ve Mimecast Limited şirketlerini "siber güvenlik riskleri ve saldırıları konusunda önemli ölçüde yanıltıcı açıklamalar yapmak" suçundan suçladı ve para cezasına çarptırdı.

Tüm şirketlere idari para cezası verildi; Unisys'in 4 milyon dolar, Avaya'nın 1 milyon dolar, Check Point'in 995.000 dolar ve Mimecast'in 990.000 dolar ödemesi bekleniyor.

Yanıltıcı açıklamalar

SolarWinds'in Orion altyapı yönetim yazılımına 2020 yılında yapılan saldırıda, tehdit aktörleri Orion yazılımına kötü amaçlı yazılım yüklü güncellemeler gönderdi ve bu güncellemeler , Orion yazılımını kullanan tedarik zincirindeki diğer kuruluşları da etkiledi.

Saldırı, ABD İç Güvenlik Bakanlığı, ABD Hazine Bakanlığı ve ABD Ticaret Bakanlığı da dahil olmak üzere binlerce işletmeyi ve ABD hükümetinin çeşitli birimlerini etkiledi.

Saldırıdan etkilenen şirketler arasında SEC tarafından suçlanan dört şirket de yer aldı. Unisys, basın açıklamasında SolarWinds saldırısı sonucunda büyük miktarda verinin sızdırılmasıyla sonuçlanan iki saldırıya bilerek maruz kalmasına rağmen, "siber güvenlik olaylarından kaynaklanan risklerini varsayımsal olarak tanımladı" dedi.

Avaya'ya yöneltilen suçlamada, şirketin SolarWinds saldırısının etkisini küçümsemeye çalıştığı ve saldırganların "Şirketin e-posta mesajlarının sınırlı bir sayısına" eriştiği belirtiliyor. Aslında Avaya, tehdit aktörlerinin şirketin bulut dosya paylaşım sistemine girdiğinin ve en az 145 dosyaya eriştiğinin zaten farkındaydı.

Check Point ve Mimecast'in de saldırının sistemlerine olan etkisini küçümsediği görüldü.

SEC Uygulama Bölümü Vekil Müdürü Sanjay Wadhwa, "Bugünün uygulama eylemlerinin yansıttığı gibi, halka açık şirketler siber saldırıların hedefi haline gelebilirken, karşılaştıkları siber güvenlik olayları hakkında yanıltıcı açıklamalarda bulunarak hissedarlarını veya yatırımcı topluluğunun diğer üyelerini daha fazla mağdur etmemeleri onların sorumluluğundadır. Burada, SEC'nin emirleri, bu şirketlerin söz konusu olaylar hakkında yanıltıcı açıklamalarda bulunduğunu ve yatırımcıları olayların gerçek kapsamı konusunda karanlıkta bıraktığını tespit ediyor." dedi.

TechRadar Pro'dan daha fazlası

Tags:

İlginizi Çekebilir

Tümünü göster
Daha yeni Daha eski
Diğer uygulamalarla paylaşın
Kopyala Yayın Bağlantısı