ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), dört büyük şirketi -Unisys (UIS), Avaya Holdings, Check Point Software Technologies (CHKP) ve Mimecast- siber güvenlik riskleri ve ihlalleriyle ilgili yanıltıcı açıklamalar yapmakla suçladı.
SEC, bu dört şirketin SolarWinds’in (SWI) Orion yazılım tedarik zinciri saldırısının ciddiyetini dosyalarında küçümsediğini ve potansiyel olarak yatırımcıları ihlallerin gerçek etkisi konusunda yanılttığını iddia etti.
SEC’in Uygulama Bölümü’nün geçici direktörü Sanjay Wadhwa, “Bugünkü yaptırım kararları gösteriyor ki, halka açık şirketler siber saldırıların hedefi olabilir ancak karşılaştıkları siber güvenlik olayları hakkında yanıltıcı açıklamalar yaparak hissedarlarını veya yatırımcı kitlesini daha fazla mağdur etmemeleri gerekir.” dedi.
Büyük bir BT hizmetleri sağlayıcısı olan Unisys, uygun açıklama kontrolleri ve prosedürlerini uygulamamakla da suçlandı. Şirket, dört şirket arasında en yüksek olan 4 milyon dolarlık para cezası ödeyecek.
SEC, Unisys’in iki SolarWinds ile ilgili ihlalin meydana geldiğini ve gigabaytlarca verinin çalındığını bilmesine rağmen, kamuya açık açıklamalarında siber güvenlik risklerini varsayımsal olarak tanımladığını tespit etti. SEC’e göre, Unisys’in açıklamaları, kısmen yetersiz iç kontrolleri nedeniyle “önemli ölçüde yanıltıcıydı”.
Diğer cezalar arasında Avaya için 1 milyon dolar, Check Point için 995.000 dolar ve Mimecast için 990.000 dolar bulunuyor.
Bir telekomünikasyon firması olan Avaya, SolarWinds bilgisayar korsanlarının yalnızca “sınırlı sayıda e-posta mesajına” eriştiğini iddia ederken, SEC bulguları siber suçluların Avaya’nın bulut dosya paylaşım ortamında en az 145 dosyaya eriştiğini ortaya çıkardı.
İsrailli bir siber güvenlik firması olan Check Point’in, siber saldırıların ve potansiyel risklerinin belirsiz tanımlarını kullanarak ihlali küçümsediği iddia edildi.
Bulut e-posta ve veri güvenliği konusunda uzmanlaşmış olan Mimecast’in, çalınan kod türünü ve ele geçirilen şifreli kimlik bilgilerinin sayısını açıklamayarak saldırının kapsamını eksik bildirdiği tespit edildi.
SolarWinds saldırısı, 2020’de Rus devlet destekli bilgisayar korsanlarının SolarWinds’in Orion yazılımına kötü amaçlı kod yerleştirdiği büyük bir siber saldırıydı. Bu “Sunburst” kötü amaçlı kodu, saldırganlara Microsoft ve FireEye gibi özel sektör firmaları ile İç Güvenlik ve Hazine gibi büyük ABD hükümet departmanları dahil olmak üzere binlerce kuruluşun sistemlerine uzaktan erişim sağladı.
Şirketler SEC’in bulgularını kabul etmemiş veya reddetmemiş olsa da, para cezalarını ödemeyi ve siber güvenlik uygulamalarını güçlendirmek için düzeltici önlemler almayı kabul ettiler.
SEC, Ekim 2023’te dava açtı, ancak bu temmuz ayında ABD Bölge Yargıcı Paul Engelmayer, yatırımcıları dolandırma iddialarının spekülatif olduğuna hükmederek SolarWinds’e yönelik suçlamaların çoğunu reddetti.
Bu içerik, içeriğin yayınlandığı günkü veriler baz alınarak hazırlanmıştır. İçerikte geçen hedef fiyat tahminleri, uzman ve analist yorumları bu içeriğin yayınlandığı tarihte geçerlidir. Bu tahmin ve yorumlar zaman içinde değişkenlik gösterebilmektedir. Bu sayfada yer alan haberler ve haberlerin içerdiği şirketler hakkındaki bilgiler yatırım danışmanlığı kapsamında değildir. Kullanılan hisse işlem görselleri; hisse adı, fiyatı ve grafikleri de dahil temsilidir, yatırım tavsiyesi değildir.
Detaylı bilgi için: Midas Sorumluluk Beyanı
Bu içerik hazırlanırken faydalanılan kaynak: Benzinga
