Gehackt SolarWinds en CISO aangeklaagd door VS vanwege cybersecurityfalen
De grote hackaanval op en via softwarebedrijf SolarWinds in 2020 krijgt nu, eind 2023, nog een onverwachte wending. De Amerikaanse bedrijfstoezichthouder SEC komt met een aanklacht tegen de diepgaand gehackte leverancier van beheersoftware én tegen de CISO van het bedrijf. Zorgen over aansprakelijkheid voor topmanagers laaien nu weer op.
- Lees ook: Lessen van: SolarWinds’ (in)security
De geruchtmakende supplychainaanval op SolarWinds zorgde eind 2020 voor verrassing, verbijstering en schrik. De stil uitgevoerde hack bij die techleverancier was in wezen niet gericht op dat bedrijf zelf maar op diverse klanten ervan. Dat ging onder meer om een aantal Amerikaanse overheidsinstanties waaronder het ministerie van Justitie, plus enkele bedrijven waaronder eerder al securityfirma FireEye (Mandiant).
Backdoor binnenbrengen bij beheerklanten
Sluwe aanvallers voorzagen toen de Orion-beheersoftware van SolarWinds van eigen, kwaadaardige code. Die backdoor werd vervolgens gebruikt om via Orion malware binnen te brengen bij gebruikers van die SolarWinds-software. Na het publiekelijk bekend worden van deze geavanceerde hackcampagne zijn er in 2021 nog diverse ontdekkingen gedaan. Zo blijkt dat lang niet alle klanten die de backdoor in huis hadden gekregen met Orion-updates ook actief zijn gehackt door de aanvallers.
De CISO van SolarWinds is samen met de toenmalige CEO begin 2021 al aangeklaagd, door boze aandeelhouders. De beschuldiging was dat hij, net als de CEO ten tijde van de hack, aan moedwillige misleiding zou hebben gedaan. SolarWinds heeft een jaar later een schikking getroffen in deze zaak. Daarbij heeft het 26 miljoen dollar betaald.
De Amerikaanse beurswaakhond SEC (Securities and Exchange Commission) heeft toen, eind 2022, echter al een formele notificatie gegeven aan SolarWinds. Daarmee is aangekondigd dat de toezichthouder mogelijk stappen tegen het bedrijf gaat ondernemen. Het onderzoek hiernaar loopt al sinds het begin van de zomer van 2021. In juli dit jaar heeft SolarWinds nog formeel te horen gekregen dat topmanagers in het vizier van de SEC zitten.
Onveiligheid was bekend
Nu, eind 2023, komt de SEC met actie: zij spant een rechtszaak aan tegen SolarWinds en tegen CISO Timothy Brown. De beschuldiging is fraude - qua verklaringen over de cybersecurityhouding van het bedrijf en mogelijke risico's - plus falen wat betreft interne grip op bekende cybersecurityrisico's en kwetsbaarheden. Volgens de SEC hadden de beveiligingstopman en het bedrijf sinds zeker oktober 2018 weet van specifieke tekortkomingen in de cybersecuritypraktijken van SolarWinds, plus van toenemende risico's die het bedrijf liep.
Hierbij is sprake geweest van flinke discrepantie tussen de publieke verklaringen (aan aandeelhouders en ook toezichthouder SEC) en interne inschattingen. Zo is er in 2018 een presentatie van een SolarWinds-ingenieur geweest en intern gedeeld, dat de opstelling voor remote werken "niet erg veilig" was, vermeldt de SEC in de aanklacht nu.
CISO zei het zelf in interne presentatie
Een hacker die misbruik zou maken van die zwakke plek zou "in wezen kunnen doen wat ze willen zonder dat wij het detecteren, totdat het te laat is", aldus de presentatie. Zo'n scenario zou dan zorgen voor "enorme reputatieschade en financiële schade" voor SolarWinds. CISO Brown was één van de mensen binnen SolarWinds waarmee die presentatie is gedeeld.
Bovendien heeft die hoogste verantwoordelijke voor cybersecurity in 2018 en in 2019 zelf presentaties gegeven waarin hij de onveiligheid van de ICT-opstelling aankaart. "De huidige staat van onze beveiliging zet ons in een erg kwetsbare situatie voor onze kritieke assets" en "toegang tot en rechten op kritieke systemen en data is ongepast", citeert de SEC uit die presentaties van de CISO.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee