De Security and Exchange Commission (SEC) heeft SolarWinds Corp., samen met haar CISO Tim Brown, aangeklaagd voor fraude en fouten in de interne controle met betrekking tot de cyberaanval in de supply chain van 2020 op het Orion Platform van het bedrijf; wat uiteindelijk leidde tot het compromitteren van Amerikaanse ministeries door de Russische inlichtingendienst.
De aanklachten veroorzaken al schokgolven binnen de CISO-gemeenschap.
Het gaat volgens de SEC om de discrepantie tussen wat Brown en anderen doen SolarWinds wat werknemers intern zeiden versus wat ze aan investeerders bekendmaakten.
Uit interne berichten bleek dat medewerkers zich er terdege van bewust waren dat ze klanten misleidden na de ontdekking van de Orion-kwetsbaarheid SEC legde dit uit in haar klacht.
“Nou, ik heb gewoon gelogen”
“Kort na de aanval van oktober 2020 op cyberbeveiligingsbedrijf B herkenden medewerkers van SolarWinds, waaronder Brown, overeenkomsten tussen de aanval op Amerikaanse overheidsinstantie A”, aldus de SEC-klacht. “Maar toen het personeel van Cybersecurity Firm B aan de medewerkers van SolarWinds vroeg of ze eerder soortgelijke activiteiten hadden gezien, vertelde InfoSec-medewerker F ten onrechte aan Cybersecurity Firm B dat dit niet het geval was. Vervolgens stuurde hij een collega een bericht: 'Nou, ik heb gewoon gelogen.'
Maar het onvermogen om passende cyberbeveiligingscontroles in te voeren bij SolarWinds begon volgens de toezichthouder al in 2018. De SEC beweert dat Brown op de hoogte was van waarschuwingen over de kwetsbaarheden van het bedrijf, maar deze negeerde, waaronder een presentatie uit 2018 door een ingenieur van SolarWinds die de externe toegang van het bedrijf als “niet erg veilig” bestempelde en uitlegde dat een bedreigingsacteur deze zou kunnen gebruiken om “ eigenlijk alles doen zonder dat wij het ontdekken, totdat het te laat is”, aldus de indiening.
Door deze waarschuwingen over de cyberbeveiligingspositie van het bedrijf te negeren en er niet in te slagen de kwestie hogerop in de commandostructuur aan de orde te stellen, beweert de SEC dat Brown de bedrijfssystemen opzettelijk onbeschermd heeft gelaten.
Brown beschuldigd van het verkopen van opgeblazen SolarWinds-aandelen
SolarWinds heeft in december 8 een onvolledige 2020-K-openbaarmaking ingediend bij de SEC en Brown heeft volgens de beschuldigingen persoonlijk geprofiteerd van de te hoge aandelenkoers.
“De aandelenkoers van SolarWinds werd opgeblazen door de onjuistheden, weglatingen en schema’s die in deze klacht worden besproken”, aldus de SEC.
De SEC beschuldigde Brown er verder van om opgeblazen SolarWinds-aandelen te verkopen voordat de waarde ervan kelderde zodra de volledige impact van het compromis openbaar werd. Volgens de door de SEC verstrekte New York Stock Exchange Records verkocht Brown tussen februari 2020 en eind augustus 2020 9,000 aandelen van SolarWinds met een winst van $ 170,000. Eind december 2020 daalde de aandelenkoers van SolarWinds met 35%.
Andere aanklachten zijn onder meer dat SolarWinds ‘materieel valse en misleidende verklaringen’ aflegt over haar cyberbeveiligingspraktijken door te beweren dat programma’s als het National Institute of Standards and Technology (NIST)-framework volledig aanwezig waren, terwijl ze in feite slechts gedeeltelijk werden ingezet.
SolarWinds en Brown beloven voor de rechtbank te vechten
Als reactie hierop beloofde SolarWinds een rechtszaak in het vooruitzicht.
"We zijn teleurgesteld door de ongegronde beschuldigingen van de SEC in verband met een Russische cyberaanval op een Amerikaans bedrijf en zijn diep bezorgd dat deze actie onze nationale veiligheid in gevaar zal brengen”, aldus een woordvoerder van SolarWinds in een verklaring aan Dark Reading. “De vastberadenheid van de SEC om een claim tegen ons en onze CISO in te dienen is een ander voorbeeld van de buitensporige reikwijdte van het agentschap en zou alle overheidsbedrijven en toegewijde cyberbeveiligingsprofessionals in het hele land moeten alarmeren. We kijken ernaar uit om de waarheid in de rechtszaal te verduidelijken en onze klanten te blijven ondersteunen via onze Secure by Design-verplichtingen.”
Browns advocaat, Alec Koch, beloofde eveneens een krachtige verdediging van zijn cliënt.
“Tim Brown heeft zijn verantwoordelijkheden bij SolarWinds als vice-president informatiebeveiliging en later als hoofd informatiebeveiliging met toewijding, integriteit en onderscheid vervuld”, zei Koch in een verklaring. "Dhr. Brown heeft gedurende zijn tijd bij SolarWinds onvermoeibaar en verantwoordelijk gewerkt aan het voortdurend verbeteren van de cyberbeveiligingspositie van het bedrijf, en we kijken ernaar uit om zijn reputatie te verdedigen en de onnauwkeurigheden in de klacht van de SEC te corrigeren.”
CISO's maken zich klaar voor Fallout
CISO-verantwoordelijkheid is iets dat de cybersecuritygemeenschap het afgelopen jaar nauwlettend in de gaten heeft gehouden. De nieuwe aanklacht van de SEC tegen Brown en SolarWinds volgt op een rechter die Uber CISO Jake Sullivan veroordeelt tot een proeftijd van drie jaar voor zijn rol in de doofpotoperatie van een 2016-operatie. datalek bij Uber en belooft zwaardere straffen in de toekomst.
Amtrak CISO Jesse Whaley is er nog niet helemaal zeker van hoe de aanklacht tegen SolarWinds SEC de rol van de CISO breder zal beïnvloeden.
"Het is óf heel goed, óf heel slecht", zegt Whaley. “Dit zou meer kunnen doen om de cyberveiligheid te bevorderen dan nog een decennium van inbreuken.”
Aan de andere kant vraagt Whaley zich af of de SEC echt het juiste doet door Brown aan te klagen, en hij voegt eraan toe dat hij vragen heeft over waarom de Chief Financial Officer of General Counsel van het bedrijf niet ook in de aanklacht werd genoemd.
Jessica Sica, CISO bij Weave, is bang dat de stap van de SEC om Brown aan te klagen meer mensen zal wegjagen van de CISO-rol.
"Het zal waarschijnlijk een huiveringwekkend effect hebben, wat we nu al zien bij CISO's die hun baan verlaten om veld-CISO's voor leveranciers te worden", zegt Sica.
Het steeds urgenter wordende probleem voor CISO's, legt ze uit, is dat bijna niemand over de middelen beschikt die ze nodig hebben om hun werk te doen.
"Ik denk dat de grootste zorg is: zullen de SEC en andere entiteiten CISO’s verantwoordelijk gaan houden voor inbreuken die zijn gepleegd doordat zij niet de middelen kregen die ze nodig hebben om hun werk te doen?” vraagt Sica.
Maar, voegt ze eraan toe, als het gaat om onthullingen, is het vertellen van de waarheid altijd de slimste zet. “Lieg niet. Verdoezel het niet en zorg ervoor dat u de meest kritieke problemen die van invloed zijn op uw bedrijf oplost”, adviseert Sica.
CISO's moeten ook heel voorzichtig zijn met uitspraken die ze in de toekomst doen en die misschien al te optimistisch taalgebruik bevatten, adviseert cybersecurity-expert Jake Williams.
“De CISO wordt er vaak toe aangezet een verklaring af te tekenen die het bestaan van een functionerend programma impliceert”, zegt Williams. “Ik heb zelfs met beursgenoteerde bedrijven gewerkt en publiekelijk een programma besproken dat zich nog in de planningsfase bevond, alsof het volledig was geïmplementeerd. Ik denk niet dat je op korte termijn een CISO kunt vinden die dit soort woordspelletjes kan spelen.”
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/attacks-breaches/sec-charges-against-solarwinds-ciso-send-shockwaves-through-security-ranks
