De Amerikaanse beurswaakhond SEC heeft de rechtszaak tegen softwarebedrijf SolarWinds en diens chief information security officer (CISO) laten vallen. Een reden hiervoor is niet door de SEC gegeven. Vorig jaar besloot een rechter de meeste aanklachten van de beurswaakhond tegen SolarWinds al te verwerpen.

De SEC had SolarWinds en diens CISO aangeklaagd wegens misleiding en fraude met betrekking tot de cybersecurity van het softwarebedrijf. SolarWinds is het bedrijf achter de Orion-software, waarmee tienduizenden bedrijven hun it-omgevingen monitoren. Aanvallers wisten de officiële updates voor de software van een backdoor te voorzien waarmee de omgevingen van klanten konden worden gecompromitteerd.

De besmette updates werden uiteindelijk door 18.000 SolarWinds-klanten geïnstalleerd. Bij een select deel van deze klanten werden via de geïnstalleerde besmette updates verdere aanvallen uitgevoerd. SolarWinds had niet door dat de aanvallers sinds begin 2019 vergaande toegang hadden en werd eind 2020 door een externe partij ingelicht dat de ontwikkelomgeving was gecompromitteerd.

Volgens de SEC had SolarWinds sinds de beursgang investeerders bedrogen door de cybersecurity van het bedrijf te overdrijven en bekende risico's te bagatelliseren of niet te melden. SolarWinds informeerde investeerders over algemene en hypothetische risico's, terwijl het bedrijf en de CISO van specifiek tekortkomingen in de cybersecurity van SolarWinds afwisten, alsmede de toenemende risico's waar het bedrijf op dat moment mee te maken had, zo stelde de beurswaakhond.

SolarWinds beweerde in openbare verklaringen dat de cybersecurity in orde was, terwijl uit interne assessments bleek dat dit niet het geval was. Zo waarschuwde een engineer van het bedrijf in 2018 dat de remote access setup van SolarWinds 'niet erg veilig' was en dat als iemand hier misbruik van zou maken, die van alles zou kunnen doen en SolarWinds het pas zou ontdekken als het te laat was. De CISO stelde in 2018 en 2019 dat de cybersecurity van de belangrijkste assets het bedrijf in een zeer kwetsbare positie plaatse en dat toegang en rechten tot belangrijke systemen en data niet goed geregeld waren.

De rechter oordeelde vorig jaar juli dat er geen sprake was van misleiding. Antifraudewetgeving vereist niet dat risicowaarschuwingen 'maximaal gespecificeerd' zijn. Daarnaast had SolarWinds aangegeven dat niet van het bedrijf verwacht kan worden dat het elke cyberaanval voorkomt en is het niet verplicht om individuele incidenten te rapporteren.

De SEC kreeg wel van de rechter gelijk dat de beveiliging van SolarWinds te wensen overliet. Het softwarebedrijf had op de eigen website gemeld dat het over geavanceerde cybersecurity beschikte en 'best practices' volgde. "In werkelijkheid voldeed het bedrijf zelfs niet aan de absolute minimumvereisten voor zakelijke cybergezondheid", aldus de rechter. "De wachtwoorden, waaronder voor belangrijke producten, waren aantoonbaar zwak en het bedrijf gaf te veel medewerkers onbeperkte beheerderstoegang en -rechten, wat de deur wagenwijd voor aanvallers openzette."