De Amerikaanse financiële toezichthouder, SEC, heeft softwarespecialist SolarWinds en diens CISO aangeklaagd voor fraude tegenover de aandeelhouders. Dit vanwege het verzwijgen van de gebrekkige cybersecurity van het bedrijf in aanloop naar de SUNBURST supply-chain-aanval in december 2020.
De SEC heeft onlangs SolarWinds en diens CISO Timothy G. Brown aangeklaagd voor fraude tegenover de aandeelhouders van het softwarebedrijf, schrijft The Register. De aanklacht werd ingediend bij een rechter in de staat New York.
De fraude is volgens de toezichthouder het gevolg van een slechte implementatie van de cybersecurity en het ‘overschatten’ van de toegepaste securitymaatregelen en/of het ‘onderkennen’ en het niet publiceren van op dat moment bekende risico’s.
Kortom, het bedrijf en diens CISO zorgden ervoor dat de securitymaatregelen ten tijde van de supply-chain-aanval niet op orde waren. Verder slaagden zij er niet in aandeelhouders daarvan voldoende op de hoogte te stellen.
Valse voorstellingen van zaken
Volgens de SEC is er aan investeerders vanaf de beursgang in eind 2018 tot december 2020, een valse voorstelling van zaken gegeven over de cyberveiligheid van het bedrijf. Dit door alleen generieke en hypothetische risico’s naar buiten te brengen op een moment waarbij beiden wisten dat er bepaalde tekortkomingen waren in de cybersecurity-maatregelen van het bedrijf en SolarWinds op hetzelfde moment ook te maken had met zeer hoge risico’s.
Brown zou in 2018 en 2019 hebben aangegeven dat de toenmalige securitystatus van het bedrijf te wensen overliet. Onder meer gaf hij aan dat de kritieke assets van het bedrijf zeer kwetsbaar waren voor toegang van buitenaf.
De SEC neemt het SolarWinds en Brown vooral kwalijk dat er al jaren waarschuwingen waren voor de security-gevaren van het bedrijf, maar daar niets aan werd gedaan.
Backdoor in Orion-netwerkmonitoringstool
In december 2020 werd bekend dat de netwerkmonitoringstool Orion van SolarWinds van een backdoor was voorzien. Hierdoor konden de hackers malware naar ongeveer 18.000 bedrijven en organisaties verspreiden.
Slachtoffers waren onder meer diverse Amerikaanse overheidsinstellingen en ministeries, maar bijvoorbeeld ook de techbedrijven Microsoft, Intel, Cisco en Nvidia.
Reactie SolarWinds
SolarWinds heeft in november 2022 een schikking gesloten met zijn aandeelhouders, maar wist niet dat de SEC verdere actie zou ondernemen. In een reactie aan The Register geeft het bedrijf aan teleurgesteld te zijn in de reactie van de toezichthouder.
De SEC zou bezig zijn met het ‘fabriceren’ van een claim en daarbij zijn verantwoordelijkheden te buiten gaan. Dit laatste zou volgens het bedrijf een waarschuwing moeten zijn voor alle bedrijven en cybersecurityprofessionals in de VS.
Tip! ‘Autoriteiten VS al veel eerder op de hoogte van SolarWinds-hack’
17 uur geleden
