SolarWinds Hack: Geniş Kapsamlı SEC Probu, Kurumsal Amerika’da Korkuya Yol Açtı

0
4

ABD Menkul Kıymetler ve Borsa Komisyonu’nun SolarWinds Rus bilgisayar korsanlığı operasyonuna yönelik soruşturması, soruşturmaya aşina olan altı kişiye göre, genişleyen soruşturmada ortaya çıkan düzinelerce şirket yöneticisinin korkulu bilgilerinin onları sorumluluğa maruz bırakacağını söyledi.

SEC, şirketlerden SolarWinds’ten kurumsal Amerika’da kullanılan ürünleri sunan bir ağ yönetimi yazılımı güncellemesini indirdikleri takdirde, Ekim 2019’a kadar uzanan kayıtları “herhangi bir başka” veri ihlaline veya fidye yazılımı saldırısına dönüştürmelerini istiyor. Reuters ile paylaşılan mektuplar.

Soruşturmaya aşina olan kişiler, taleplerin Rus casusluk kampanyasıyla ilgisi olmayan çok sayıda bildirilmemiş siber olayı ortaya çıkarabileceğini ve SEC’e, şirketlerin muhtemelen asla açıklamayı amaçlamadığı daha önce bilinmeyen olaylar hakkında nadir bir bilgi düzeyi sağlayabileceğini söylüyor.

Kısa süre önce talebi alan halka açık düzinelerce şirketle çalışan bir danışman, “Hiç böyle bir şey görmedim” dedi. “Şirketlerin endişe duyduğu şey, SEC’in bu bilgiyi nasıl kullanacağını bilmemeleri. Ve o zamandan beri çoğu şirket bildirilmemiş ihlaller yaşadı.” Danışman, deneyimini tartışmak için anonimlik koşuluyla konuştu.

Bir SEC yetkilisi, talebin amacının SolarWinds olayıyla ilgili diğer ihlalleri bulmak olduğunu söyledi.

SEC, şirketlere SolarWinds hack’iyle ilgili verileri gönüllü olarak paylaşmaları halinde cezalandırılmayacaklarını söyledi, ancak diğer uzlaşmalar için bu affı teklif etmedi.

Siber saldırıların hem sıklığı hem de etkisi arttı ve geçen yıl Beyaz Saray’da derin endişelere yol açtı. ABD’li yetkililer, sorunun kapsamını hissedarlardan, politika yapıcılardan ve en kötü suçluları arayan kanun uygulayıcılardan gizlediğini öne sürerek şirketleri bu tür olayları ifşa etmemekle suçladılar.

SEC soruşturmasına aşina olan kişiler, Reuters’e, mektupların, SolarWinds saldırılarından potansiyel olarak etkilendiği düşünülen, teknoloji, finans ve enerji sektörlerinden birçoğu da dahil olmak üzere yüzlerce şirkete gittiğini söyledi. Bu sayı, İç Güvenlik Bakanlığı’nın kötü SolarWinds yazılımını indirdiğini ve daha sonra istismar ettiğini söylediği 100’ü aşıyor.

Geçen yıldan bu yana, Microsoft, Cisco Systems, FireEye ve Intel dahil olmak üzere yalnızca iki düzine şirketin etkilendiği kamuoyuna açık olarak belirlendi. Bu haber için iletişime geçilenlerden yalnızca Cisco, SEC mektubunu aldığını onayladı. Bir Cisco sözcüsü, SEC’in talebine yanıt verdiğini söyledi.

Siber güvenlik araştırması, yazılım üreticisi Qualys ve petrol enerjisi şirketi Chevron Corp’un Rus siber operasyonunda hedef alınanlar arasında olduğunu öne sürdü. Her ikisi de SEC soruşturması hakkında yorum yapmayı reddetti.

SolarWinds’in yaklaşık 18.000 müşterisi, siber suçluların gelecekteki potansiyel erişim için manipüle ettiği yazılımının saldırıya uğramış bir sürümünü indirdi. Ancak, bu müşterilerin yalnızca küçük bir alt kümesi, takip eden bilgisayar korsanlığı faaliyeti gördü ve bu da saldırganların nihayetinde kurban olduklarından çok daha fazla şirkete bulaştığını gösteriyor.

SEC, mektupları gören altı kaynağa göre, Haziran ayında gönderilen ilk turun ardından, etkilendiğine inanılan şirketlere geçen ay mektuplar gönderdi.

İkinci talep dalgası, ilk turdan yanıt vermeyen şirketlerdeki alıcılara yöneltildi. Alıcıların kesin sayısı belirsizdir.

Morrison & Foerster’ın ortağı ve siber güvenlik vakaları üzerinde çalışan eski SEC direktörü Jina Choi, mevcut soruşturmanın SEC’in bu kadar geniş bir taramadaki hedefi konusunda netlik olmaması açısından “benzeri görülmemiş” olduğunu söyledi.

SEC, on yıl önce şirketlere önemli olabilecek saldırıları ifşa etme çağrısında bulunsa da, daha sonra bu kılavuzu 2018’de güncelledi, ancak çoğu kabul belirsizdi.

Nisan ayında SEC’in başına geçen Gary Gensler, kurumu siber güvenlikten iklim riskine kadar değişen yeni ifşa gereklilikleri yayınlamakla görevlendirdi.

Saldırı ilk olarak Reuters tarafından dokuz aydan uzun bir süre önce bildirilmiş olsa da, ABD’li yetkililerin bir Rus istihbarat servisinden geldiğini söylediği geniş çaplı dijital casusluk operasyonunun gerçek etkisi büyük ölçüde bilinmiyor.

Hükümet yetkilileri, neyin çalındığına veya Rusların neyin peşinde olduğuna dair kapsamlı bir açıklama yapmaktan kaçındı, ancak bunu geleneksel hükümet casusluğu olarak nitelendirdi.

Çok sayıda şirket, SEC dosyalamalarındaki saldırılara atıfta bulundu, ancak çoğu, olayları yalnızca bir gün karşılaşabilecekleri türden izinsiz girişlerin bir örneği olarak gösteriyor. SolarWinds yazılımı yüklediklerini söyleyenlerin çoğu, en hassas verilerinin alındığına inanmadıklarını da ekliyor.

SEC’in internet uygulama dairesi eski başkanı John Reed Stark, “şirketler bu soruları yanıtlamakta zorlanacak – sadece bunlar geniş, kapsamlı ve her şeyi kapsayan talepler olduğu için değil, aynı zamanda SEC’in bir tür keşif yapması gerektiği için. daha önce açıkladıkları şeyde hata”.

© Thomson Reuters 2021

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz