18 Haziran 2024 tarihinde, Menkul Kıymetler ve Borsa Komisyonu (SEC), iş iletişimi ve pazarlama hizmetlerinde küresel bir lider olan R.R. Donnelley & Sons Company’nin (RRD), siber güvenlik kontrollerindeki ihlallerle ilgili suçlamaları çözmek için 2,1 milyon doların üzerinde ödeme yapmayı kabul ettiğini duyurdu. Bu ihlaller 2021’in sonlarında meydana gelen olaylarla ilgili. SEC’in yaptırım eylemi, RRD’nin siber güvenlik sorunlarını yönetime iletme ve şirketin varlıklarını siber tehditlerden koruma mekanizmalarının yetersizliğinden kaynaklandı.
SEC’in Açıklaması
SEC Kripto Varlıkları ve Siber Birimi Şef Vekili Jorge G. Tenreiro, RRD’nin siber güvenlik olaylarını yönetmeye yönelik kontrollerinin yetersizliğini vurgulayarak bu eylemin önemini vurguladı. Bununla birlikte, RRD’nin soruşturma ile işbirliğinin önemli olduğunu ve uzlaşma şartlarını olumlu yönde etkilediğini kabul etti.
SEC’in kararı, müşteri verilerinin RRD’nin ağında bulunduğu göz önüne alındığında, RRD’nin operasyonları için veri bütünlüğü ve gizliliğinin kritik rolünü ayrıntılı olarak açıkladı. Hem RRD’nin dahili güvenlik ekibi hem de harici bir hizmet sağlayıcı bu ağı izlemekle görevlendirilmişti. Bu önlemlere rağmen SEC, RRD’nin açıklama kararları gerektiren siber güvenlik sorunları hakkında yönetimi bilgilendirmek için gerekli olan etkili açıklama kontrolleri ve prosedürlerinden yoksun olduğunu tespit etti. Buna ek olarak, RRD olağandışı faaliyetlere işaret eden uyarıları yeterince değerlendirmemiş veya bunlara derhal yanıt vermemişti.
Kararda Neler Var?
Kararda ayrıca, RRD’nin siber güvenlikle ilgili dahili muhasebe kontrolleri oluşturmadaki ve sürdürmedeki başarısızlığı vurgulandı. Bu kontroller, RRD’nin BT sistemlerine ve ağlarına erişimin yalnızca yetkili personelle sınırlandırılmasını sağlamak için çok önemli. Sonuç olarak, RRD’nin 1934 tarihli Menkul Kıymetler Borsası Kanunu’nun 13(b)(2)(B) Bölümünü ve Borsa Kanunu’nun 13a-15a Kuralını ihlal ettiği tespit edildi.
Bu bulgulara cevaben RRD, bu hükümlerin daha fazla ihlal edilmesini durdurmayı ve vazgeçmeyi kabul etti ve 2.125.000 dolar tutarında bir sivil ceza ödemeye razı oldu. RRD, SEC’in bulgularını kabul veya reddetmezken, şirketin soruşturma sırasında aldığı proaktif önlemler dikkat çekti. RRD, siber güvenlik olayını resmi olarak açıklamadan önce SEC personeline bildirmiş, tam işbirliği yapmış ve gelecekteki olayları önlemek için yeni siber güvenlik teknolojileri ve kontrolleri benimsemişti.