CISO, CFO en meer topmanagers in vizier van VS vanwege SolarWinds-hack

Terwijl er nog geen sprake is van een formele aanklacht, geeft dit formele informeren wel aan dat er onderzoek loopt en dat daarin een advies ligt om personen te vervolgen voor de grote supplychain-aanval op en via de IT-leverancier. Dit kan een breed precedent scheppen.

Het gaat hierbij om schendingen van bepaalde voorzieningen in Amerikaanse wetgeving voor aandelen en bedrijven. De SEC (Securities And Exchange Commission) heeft vorig jaar het IT-bedrijf zelf al geïnformeerd, met een zogeheten Wells Notice, over vermeende schendingen wat betreft het onthullen of melden van cybersecurityzaken. Daarbij gaat het ook om interne securityzaken en -procedures, die bij SolarWinds niet op orde bleken te zijn.

Onmogelijke opgave?

De SEC-notificatie van vorig jaar is door SolarWinds vermeld in zijn kwartaalrapport, schrijft CSOonline, terwijl de nieuwste notificatie op individueel niveau door het bedrijf wordt aangekaart in een korte melding bij de SEC. Eerstgenoemde Wells Notice moet nog leiden tot eventuele actie, maar daar komt nu dus de tweede notificatie bij die veel verder kan reiken. Het verantwoordelijk houden en aanpakken van bedrijven voor missers bij securityrampen is één ding, maar werknemers aansprakelijk stellen is iets heel anders.

Het voorlopige advies van SEC-onderzoekers om de CISO, de CFO en andere topmanagers op de korrel te nemen, zorgt dan ook voor onrust in het bedrijfsleven. Cybersecurityprofessionals kunnen zich zorgen maken dat zij niet alleen qua beeldvorming zondebok kunnen zijn, als zij door bijvoorbeeld 'technical debt', IT-chaos, budgetbeperkingen en andere belemmeringen er niet in slagen hun beveiligingswerk bijna perfect te doen.

SolarWinds stelt nu in de paperassen die het heeft ingediend bij de SEC dat eventuele aanpak van de genoemde individuele werknemers kan leiden tot geldboetes en verboden om nog soortgelijke functies te vervullen bij andere bedrijven. CEO Sudhakar Ramakrishna stelt in een interne mail aan werknemers dat het bedrijf meewerkt met het onderzoek van de SEC, maar dat die toezichthouder volhardt in het innemen van standpunten die volgens SolarWinds niet overeenkomen met de feiten.

Russische link

In die verklaring stelt de hoogste baas van de gehackte IT-leverancier dat het bedrijf zich hard blijft maken voor een mogelijke oplossing van deze kwestie, voordat de SEC een definitieve beslissing neemt. En als de SEC uiteindelijk toch besluit om juridische stappen te zetten, dan zal SolarWinds zich fel verdedigen, belooft de CEO. In 2020 is een diepgaande hack in de systemen van SolarWinds ontdekt, waardoor zijn platform voor netwerk- en applicatiemonitoring is voorzien van malware. Die kwaadaardige code is via de IT-leverancier terechtgekomen bij klanten, waaronder grote IT-bedrijven en overheidsorganisaties. De vermeende daders hebben banden met Rusland.