Amerikaanse beurswaakhond klaagt SolarWinds en CISO aan wegens misleiding
De Amerikaanse beurswaakhond SEC heeft SolarWinds en diens Chief Information Security Officer (CISO) aangeklaagd wegens misleiding en fraude met betrekking tot de cybersecurity van het softwarebedrijf. SolarWinds is het bedrijf achter de Orion-software, waarmee tienduizenden bedrijven hun it-omgevingen monitoren. Aanvallers wisten de officiële updates voor de software van een backdoor te voorzien waarmee de omgevingen van klanten konden worden gecompromitteerd.
De besmette updates werden uiteindelijk door 18.000 SolarWinds-klanten geïnstalleerd. Bij een select deel van deze klanten werden via de geïnstalleerde besmette updates verdere aanvallen uitgevoerd. SolarWinds had niet door dat de aanvallers sinds begin 2019 vergaande toegang hadden en werd eind 2020 door een externe partij ingelicht dat de ontwikkelomgeving was gecompromitteerd.
Volgens de SEC heeft SolarWinds sinds de beursgang investeerders bedrogen door de cybersecurity van het bedrijf te overdrijven en bekende risico's te bagatelliseren of niet te melden. SolarWinds informeerde investeerders over algemene en hypothetische risico's, terwijl het bedrijf en de CISO van specifiek tekortkomingen in de cybersecurity van SolarWinds afwisten, alsmede de toenemende risico's waar het bedrijf op dat moment mee te maken had.
Zo stelde SolarWinds in openbare verklaringen dat de cybersecurity in orde was, terwijl uit interne assessments bleek dat dit niet het geval was. Zo waarschuwde een engineer van het bedrijf in 2018 dat de remote access setup van SolarWinds 'niet erg veilig' was en dat als iemand hier misbruik van zou maken, die van alles zou kunnen doen en SolarWinds het pas zou ontdekken als het te laat was. De CISO stelde in 2018 en 2019 dat de cybersecurity van de belangrijkste assets het bedrijf in een zeer kwetsbare positie plaatse en dat toegang en rechten tot belangrijke systemen en data niet goed geregeld waren.
Verder blijkt uit communicatie tussen de CISO en medewerkers dat er vragen waren over de mogelijkheid van SolarWinds om belangrijke systemen tegen cyberaanvallen te beschermen. Ook blijkt uit interne documenten van september 2020 dat de gevonden beveiligingsproblemen in die maand groter waren dan de engineers van het bedrijf aankonden. Volgens de SEC wisten SolarWinds en de CISO van de kwetsbaarheden en werden die niet tijdig verholpen. Daardoor kon het bedrijf geen garanties geven dat de belangrijkste assets, waaronder de Orion-software, voldoende beschermd waren.
Nadat SolarWinds de aanval in december 2020 bekendmaakte was de beurskoers aan het eind van de maand met 35 procent gedaald. Ook stelt de beurswaakhond dat SolarWinds geen volledige melding van de aanval heeft gedaan. "In plaats van de kwetsbaarheden te verhelpen, waren SolarWinds en de CISO betrokken bij een campagne om een verkeerd beeld van de cybersecurity te geven", zo stelt de SEC.
De beurswaakhond stelt dat het met deze actie SolarWinds en de CISO niet alleen aanklaagt wegens het misleiden van investeerders en het niet beschermen van de 'kroonjuwelen', maar ook een boodschap aan bedrijven geeft om hun omgevingen goed te beveiligen en eerlijk tegenover investeerders te zijn over bekende problemen.
Ik heb bij meerdere bedrijven gewerkt en bij zo ongeveer allemaal is informatie(cyber)beveiliging iets waar zo min mogelijk geld en aandacht aan moet worden besteed. Want het brengt het bedrijf niets op, het kost alleen maar geld. Iets wat ze beter kunnen besteden aan nieuwe bedrijfsideeen.
En er is toch nooit wat gebeurd, dus waarom zouden we er geld uitgeven. Of de ergste... daar hebben we jullie toch voor aangenomen...
Het was wachten tot er zoiets als solarwinds zou gebeuren, of nog gebeurd. Kijk maar naar MoveIT en nu Okta...
Ik heb bij meerdere bedrijven gewerkt en bij zo ongeveer allemaal is informatie(cyber)beveiliging iets waar zo min mogelijk geld en aandacht aan moet worden besteed. Want het brengt het bedrijf niets op, het kost alleen maar geld. Iets wat ze beter kunnen besteden aan nieuwe bedrijfsideeen.
En er is toch nooit wat gebeurd, dus waarom zouden we er geld uitgeven. Of de ergste... daar hebben we jullie toch voor aangenomen...
Het was wachten tot er zoiets als solarwinds zou gebeuren, of nog gebeurd. Kijk maar naar MoveIT en nu Okta...
Ja, je hebt gelijk. Dit los je ook alleen op door de hoogste managers verantwoordelijk te stellen. Daarnaast moeten alle It-ers verplicht op security cursussen. Security moet op 1 staan en niet u vraagt, wij draaien.
Ik heb bij meerdere bedrijven gewerkt en bij zo ongeveer allemaal is informatie(cyber)beveiliging iets waar zo min mogelijk geld en aandacht aan moet worden besteed. Want het brengt het bedrijf niets op, het kost alleen maar geld. Iets wat ze beter kunnen besteden aan nieuwe bedrijfsideeen.
En er is toch nooit wat gebeurd, dus waarom zouden we er geld uitgeven. Of de ergste... daar hebben we jullie toch voor aangenomen...
Het was wachten tot er zoiets als solarwinds zou gebeuren, of nog gebeurd. Kijk maar naar MoveIT en nu Okta...
Ja, je hebt gelijk. Dit los je ook alleen op door de hoogste managers verantwoordelijk te stellen. Daarnaast moeten alle It-ers verplicht op security cursussen. Security moet op 1 staan en niet u vraagt, wij draaien.
Ik heb bij meerdere bedrijven gewerkt en bij zo ongeveer allemaal is informatie(cyber)beveiliging iets waar zo min mogelijk geld en aandacht aan moet worden besteed. Want het brengt het bedrijf niets op, het kost alleen maar geld. Iets wat ze beter kunnen besteden aan nieuwe bedrijfsideeen.
En er is toch nooit wat gebeurd, dus waarom zouden we er geld uitgeven. Of de ergste... daar hebben we jullie toch voor aangenomen...
Het was wachten tot er zoiets als solarwinds zou gebeuren, of nog gebeurd. Kijk maar naar MoveIT en nu Okta...
Ja, je hebt gelijk. Dit los je ook alleen op door de hoogste managers verantwoordelijk te stellen. Daarnaast moeten alle It-ers verplicht op security cursussen. Security moet op 1 staan en niet u vraagt, wij draaien.
Dus NIS2
Ik heb bij meerdere bedrijven gewerkt en bij zo ongeveer allemaal is informatie(cyber)beveiliging iets waar zo min mogelijk geld en aandacht aan moet worden besteed. Want het brengt het bedrijf niets op, het kost alleen maar geld. Iets wat ze beter kunnen besteden aan nieuwe bedrijfsideeen.
En er is toch nooit wat gebeurd, dus waarom zouden we er geld uitgeven. Of de ergste... daar hebben we jullie toch voor aangenomen...
Het was wachten tot er zoiets als solarwinds zou gebeuren, of nog gebeurd. Kijk maar naar MoveIT en nu Okta...
Ja, je hebt gelijk. Dit los je ook alleen op door de hoogste managers verantwoordelijk te stellen. Daarnaast moeten alle It-ers verplicht op security cursussen. Security moet op 1 staan en niet u vraagt, wij draaien.
dat ze fysiek het werk zelf moeten gaan doen natuurlijk. Maar wat doet een CEO als zijn huis/auto/landgoed/vliegtuig etc. wordt afgenomen, speelt hij de claim dan door naar zijn IT'ers? Vaste medewerkers zijn wettelijk niet daarvoor te pakken, maar zzp'ers mogelijk wel? Denk aan je beroepsaansprakelijkheidsverzekering. Het kan wel zijn dat je niets te verwijten is, maar de advocaatkosten moet je toch wel eerst ophoesten voordat je gelijk krijgt. Als je het al krijgt.
Een ander iets wat zou helpen is als de CISO zelf in het bestuur zou zitten en niet zoals nu het geval is, weggestopt onder de CIO, CFO of soortgelijke functies.
Ik heb bij meerdere bedrijven gewerkt en bij zo ongeveer allemaal is informatie(cyber)beveiliging iets waar zo min mogelijk geld en aandacht aan moet worden besteed. Want het brengt het bedrijf niets op, het kost alleen maar geld. Iets wat ze beter kunnen besteden aan nieuwe bedrijfsideeen.
En er is toch nooit wat gebeurd, dus waarom zouden we er geld uitgeven. Of de ergste... daar hebben we jullie toch voor aangenomen...
Het was wachten tot er zoiets als solarwinds zou gebeuren, of nog gebeurd. Kijk maar naar MoveIT en nu Okta...
De wereld heeft niets geleerd van Solarwinds en het bedrijf zelf mogelijk ook niet, bestaat nochsteeds onder een andere naam, dat dan weer wel.
Ik heb bij meerdere bedrijven gewerkt en bij zo ongeveer allemaal is informatie(cyber)beveiliging iets waar zo min mogelijk geld en aandacht aan moet worden besteed. Want het brengt het bedrijf niets op, het kost alleen maar geld. Iets wat ze beter kunnen besteden aan nieuwe bedrijfsideeen.
En er is toch nooit wat gebeurd, dus waarom zouden we er geld uitgeven. Of de ergste... daar hebben we jullie toch voor aangenomen...
Het was wachten tot er zoiets als solarwinds zou gebeuren, of nog gebeurd. Kijk maar naar MoveIT en nu Okta...
Ja, je hebt gelijk. Dit los je ook alleen op door de hoogste managers verantwoordelijk te stellen. Daarnaast moeten alle It-ers verplicht op security cursussen. Security moet op 1 staan en niet u vraagt, wij draaien.
Informatiebeveiliging is een business vraagstuk, niet een IT probleem.
Ik heb bij meerdere bedrijven gewerkt en bij zo ongeveer allemaal is informatie(cyber)beveiliging iets waar zo min mogelijk geld en aandacht aan moet worden besteed. Want het brengt het bedrijf niets op, het kost alleen maar geld. Iets wat ze beter kunnen besteden aan nieuwe bedrijfsideeen.
En er is toch nooit wat gebeurd, dus waarom zouden we er geld uitgeven. Of de ergste... daar hebben we jullie toch voor aangenomen...
Het was wachten tot er zoiets als solarwinds zou gebeuren, of nog gebeurd. Kijk maar naar MoveIT en nu Okta...
Ja, je hebt gelijk. Dit los je ook alleen op door de hoogste managers verantwoordelijk te stellen. Daarnaast moeten alle It-ers verplicht op security cursussen. Security moet op 1 staan en niet u vraagt, wij draaien.
Overheden overigens ook, ben benieuwd wie ze dan als hoger management aanklagen de ambtenaren of de politici?
Een ander iets wat zou helpen is als de CISO zelf in het bestuur zou zitten en niet zoals nu het geval is, weggestopt onder de CIO, CFO of soortgelijke functies.
Overigens is dat de positie van de CISO in de board ook iets waar juist de SEC mee bezig is, in Amerika dan. Duurt even voordat dat hier naartoe overwaait.
Saillant detail: de CISO onder de CIO wegstoppen is de overheid de laatste jaren juist aan het invoeren.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.