Bir hukuk uzmanı, büyük MOVEit ihlalinin ardından Progress Software’e karşı ülke çapında açılan toplu davanın, savunmasız uygulamaları büyük ölçekli tedarik zinciri saldırılarında istismar edilen yazılım şirketlerine karşı ek davalara işaret edebileceğini söylüyor.
Progress, beş davada diğerlerinin yanı sıra ihmal ve sözleşme ihlali iddialarıyla karşı karşıya ülke çapında toplu davalar Tüketici hakları hukuk firması Hagens Berman (HBS), Cl0p fidye yazılımı çetesinin MOVEit tarafından yönetilen dosya aktarım uygulamasındaki kritik bir sıfır gün kusurundan yararlanmasının ardından dava açtı.
Saldırı, aralarında Shell Oil ve British Airways’in de bulunduğu çok uluslu, yüksek profilli milyon ve milyar dolarlık kuruluşların yanı sıra, hem dahili hem de harici olarak hassas verileri ve büyük dosyaları paylaşmak için MOVEit’i kullanan daha küçük kamu ve özel kuruluşları da etkiledi.
Yazılımın güvenlik açığı bulunan sürümlerinin yüklü olduğu ortamlar, müşterilerin adları, Sosyal Güvenlik numaraları, doğum tarihleri, demografik bilgileri, sigorta poliçe numaraları ve diğer mali bilgileri de dahil olmak üzere hassas kişisel bilgilerini (PII) açığa çıkardı.
HBS, Progress’in toplamda 40 milyondan fazla kişinin hassas kişisel bilgilerini tehlikeye attığını iddia ediyor ve etkilenen 600 kuruluştan daha fazlası ortaya çıktıkça daha fazla toplu davanın yolda olacağının sözünü veriyor.
Davalar, Progress’in “kişisel olarak tanımlanabilir bilgileri uygun şekilde güvence altına alma ve koruma konusunda” başarısız olduğunu, dolayısıyla davacıların “mevcut ve devam eden bir kimlik hırsızlığı riskine” ve aynı zamanda mahremiyetin ihlaline, mali maliyetlere, zaman kaybına ve üretkenlik kaybına maruz kaldığını iddia ediyor. bir mahkemeye başvuru. Dahası, özel bilgilerinin suçlular tarafından kötüye kullanılması riskiyle karşı karşıyadırlar.
Davanın gidişatına bağlı olarak, yazılım sağlayıcılarının, saldırganların bu güvenlik açıklarını istismar edip müşterileri için veri, mali ve diğer kayıplara yol açmasından önce ürünlerindeki güvenlik açıklarını düzeltmede başarısız olmaları durumunda, bu durum yazılım sağlayıcılarının sorumluluğu açısından daha fazla emsal teşkil edebilir.
HBS’nin davadaki ortaklarından biri olan Sean Matt, “Vakalar, yazılım satıcılarının ihlallere karşı koruma konusunda daha dikkatli olmaları gerektiğini gösteriyor” diyor. “Daha fazla ihlal meydana geliyor ve bunun sonucunda daha fazla dava açılıyor.”
Milyon Dolarlık Yerleşimlere Öncelik
Aslında, savunmasız yazılımlara yapılan saldırılar hassas verilerin ihlaliyle sonuçlandığında, davacıların multi-milyon dolarlık (bazıları yüz milyonlarca dolarlık) anlaşmalar kazanması için bir öncelik olduğunu söylüyor.
Güvenlik firmasının başkan yardımcısı Willy Leichter, “Bunun gibi toplu davaların çoğu mahkeme dışında sonuçlanıyor, çünkü akıllı satıcılar aylarca süren keşif ve kamuya açık duruşmalara sürüklenmek istemiyor” diye kabul ediyor Cyware.
Oklahoma City’de siber güvenlik ve veri gizliliği avukatı Collin Walke, böyle bir vakanın, şirketin milyonlarca insanı etkileyen bir veri ihlaliyle sonuçlanan sıfır gün istismarıyla ilgili olarak 8,1 milyon dolarlık bir anlaşmaya vardığı Accellion veri ihlali olduğunu söylüyor: daha önce Oklahoma Temsilciler Meclisi’nde görev yapmıştı.
Diğer anlaşmalar ve MOVEit davaları gibi Accelion davası da diğerlerinin yanı sıra ihmal, sözleşmenin ihlali ve mahremiyetin ihlali iddialarına dayanıyordu. Dahası, MOVEit gibi fidye yazılımı vakalarında, mağdur kuruluşun fidyeyi ödemeyi seçmesi durumunda bu ödüller potansiyel olarak daha yüksek olabilir ve bu da kayıplarının maliyetini artırabilir.
MOVEit vakasında Coveware yakın zamanda ihlalin gerçekleşebileceğini tahmin eden bir analiz yayınladı. 100 milyon dolara kadar Cl0p kazanınşirketlerin yasal işlem yoluyla telafi etmeye çalışabileceği para.
Walke, “Bu kesinlikle yazılım şirketlerinin, yazılımlarının kusurlu olması durumunda riske maruz kalacaklarını fark etmelerini sağlıyor” diyor. “Şirketin güvenlik açıklarını bilmesi ve bunları durdurmak için hiçbir şey yapmaması durumunda bu özellikle doğru olurdu.”
Sorumlu mu Değil mi?
Walke, şu anda MOVEit’te de durumun böyle olup olmadığı ve Progress’in tam olarak neden sorumlu olduğunun belirsiz olduğunu söylüyor. yazılım satıcısı yamalı Aynı gün 31 Mayıs’ta Cl0p saldırılarının kalbindeki kusur kusur ortaya çıktı. Ancak toplu davalar, güvenlik açığının 2021’den beri mevcut olduğunu iddia ediyor.
Davanın özü, eğer mahkemede yargılanırsa, Progress’in kusuru istismar edilmeden önce tespit etmede ihmalkar davranıp davranmadığına bağlı olacaktır. davanın iddia ettiği gibi, dolayısıyla müşterilere karşı çeşitli sorumlulukları yerine getirememek.
Davacılara göre bu sorumluluklar arasında temel ağ korumalarının izlenmesi ve sürdürülmesi; yeterli veri saklama politikalarının sürdürülmesi; personelin veri güvenliği konusunda eğitilmesi; veri güvenliğine ilişkin endüstri standartlarına uymak; ve kullanıcıların özel bilgilerinin şifrelenmesi.
Walke, “Herhangi bir sıfır gün istismarı, yakalanıp ardından yama yapılmaması nedeniyle ‘ihmal’ teşkil ediyorsa, o zaman dünyadaki her yazılım şirketi bu duruma maruz kalır” diyor. “Ancak ihmal, sıfır gün istismarının bildirilmesini ve ardından harekete geçilmemesini gerektiriyorsa, bu, potansiyel olarak sorumlu şirketlerin havuzunu yalnızca kusuru fark eden ve onu görmezden gelenlerle daraltır.”
Tabii ki, eğer şirket uzlaşmaya karar verirse bunların hiçbir önemi yok ki bu da muhtemel görünüyor, özellikle de davalar artmaya devam ederse.
MOVEit’ten bir sözcü, Progress’in devam eden dava hakkında yorum yapmadığını söylüyor. Sözcü, şu anda şirketin odak noktasının “müşterilerle yakın çalışmaya devam ederek, geliştirdiğimiz yamaları uygulamak da dahil olmak üzere ortamlarını daha da güçlendirmek için gereken adımları atabilmelerini sağlamak olduğunu” söyledi.
Etkiler İleriye Dönecek mi?
Yazılım satıcısının sorumluluğuyla ilgili tartışma ve potansiyel mevzuatın kızıştığı ve Biden yönetiminin buna nasıl tepki vereceği üzerine kafa yorduğu bu davalar, çok önemli bir zamanda ortaya çıkıyor. Biden Yönetimi tarafından Mart ayında açıklanan Ulusal Siber Güvenlik Stratejisi, şu anda kabul edilen sorumluluk paradigması kapsamında, yazılım satıcılarının çözümlerindeki istismar edilen kusurlardan nadiren sorumlu tutulduğunu kabul etti.
Global yönetici katılımı kıdemli danışmanı Mark Millender, “İster sözleşme, ürün sorumluluğu, isterse genel hukuk ihmali teorileri kapsamında olsun, bugüne kadar yazılım üreticileri anlamlı sorumluluktan kaçınmak konusunda neredeyse evrensel olarak başarılı oldular” diyor. tanyumbirleşik uç nokta yönetimi sağlayıcısı
Ulusal Siber Güvenlik Stratejisi, zaman alacak ancak sonuçta gerekli olan bu tür bir sorumluluğun tesis edilmesine yönelik mevzuatın geliştirilmesi için yönetim, Kongre ve özel sektör arasında ortak bir çaba önermektedir.
Millender, “Piyasanın yeniliği korurken daha güvenli ürün ve hizmetler üretmesini sağlayacak sorumluluk eksikliğinin giderilmesi kritik önem taşıyor” diyor.
Cyware’den Leichter, “Yazılım artık o kadar çok fiziksel ürünün ayrılmaz bir parçası ki, yazılım endüstrisi, ürünlerinin karmaşık olması veya hata ayıklamanın zor olması nedeniyle özel bir muafiyet talep edemez” diye aynı fikirde. “Bu dava başarılı olursa, muhtemelen yazılım satıcılarına karşı daha fazla iddiaya yol açacaktır, ancak bu, yazılımın dünyayı yönetmesinin kaçınılmaz maliyetidir.”