Management

Juridische zaken
vrouwe Justitia

CISO van SolarWinds aangeklaagd

Securitybaas wordt verantwoordelijk geacht voor security.

Vrouwe Justitia © CC0 Pixabay,  AJEL
16 augustus 2021

Securitybaas wordt verantwoordelijk geacht voor security.

De chief information security officer (CISO) van het gehackte SolarWinds is direct doelwit van een aanklacht. De hoogste securitybaas van de leverancier van IT-beheersoftware zou volgens boze aandeelhouders aan moedwillige misleiding hebben gedaan. Naast de CISO is ook de voormalige CEO aangeklaagd, net als het bedrijf zelf.

In de aanklacht tegen het IT-bedrijf, de toenmalige CEO en de huidig CISO (die ten tijde van de hack vice-president voor security was) wordt onder meer gesteld dat SolarWinds al was gewaarschuwd voor onveilige zaken in zijn IT-infrastructuur. Zo was er het feit dat het onveilige wachtwoord 'solarwindws123' was ingesteld op een updateserver van het bedrijf.

Genegeerde klokkenluider?

De onveilige interne IT-situatie van de producent van IT-beheertooling is aangekaart door een voormalige securitystrateeg van SolarWinds. Deze man, Ian Thornton-Trump, was 2 jaar vóór de vergaande hack in dienst als 'global cybersecurity strategist' en zou intern zijn zorgen hebben aangekaart over de slechte security. Hij is slechts een paar maanden bij SolarWinds gebleven.

De aanklagende aandeelhouders stellen nu dat het gehackte bedrijf geen securityteam had, geen wachtwoordbeleid, geen documentatie over databescherming, geen beperking van gebruikersrechten, en dat daarmee de kroonjuwelen kwetsbaar waren voor een potentiële cyberaanval. Dat laatste is dus in de praktijk gebeurd, waarlangs vele andere bedrijven, organisaties en overheidsinstanties zijn gehackt.

Wisseling van de wacht

Verder zou SolarWinds misleidende verklaringen hebben afgegeven over de kwaliteit van zijn cybersecurity, onder meer op zijn eigen website. Dit komt volgens de aanklacht dus neer op misleiding van investeerders. De toenmalige CEO van SolarWinds is in december opgestapt, na 10 jaar in die hoogste positie.

Zijn aftreden was eerder al wel aangekondigd, maar nog niet van een datum voorzien. Twee dagen na zijn vertrek is pas zijn opvolger bekend gemaakt. Begin dit jaar is nog bekend geworden dat de ex-CEO een vergoeding krijgt voor zijn medewerking aan lopende onderzoeken en rechtszaken vanwege de diepgaande hack.

SolarWinds ontkent

In reactie op de aanklacht waarbij de vorige CEO en de huidige CISO met naam worden aangeschreven, stelt SolarWinds nu dat er geen enkele feitelijke beschuldiging is die tot de conclusie leidt dat er sprake was van misleiding. Geen van de twee genoemde topmannen zou uitspraken hebben gedaan waaruit investeerders zouden kunnen concluderen dat SolarWinds immuun was voor cyberaanvallen, aldus het bedrijf. Van opzet zou dus ook totaal geen sprake zijn, schrijft SecureWorld op uit de reactie.

De CISO is in mei dit jaar benoemd, vanuit zijn positie als vp security waarin hij betrokken was bij de aanpak van de hack van beheerproduct Orion. De topman die al sinds juli 2017 bij SolarWinds in dienst is, heeft ook een nevenfunctie als chief product officer bij dreigingsdetectiebedrijf Nopsec waar hij sinds augustus 2012 werkt. Daarbij is hij ook securitytopman geweest bij onder meer Dell, CA (voorheen Computer Associates), en Symantec.

Lees meer over Management OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.