De supply chain-aanval op SolarWinds in 2020 is één van de beruchtste cyberincidenten aller tijden. Tim Brown, CISO bij het bedrijf, werd aangeklaagd voor het vermeend verzwijgen van securityproblemen bij SolarWinds. Nu stelt hij dat cyberwetgeving wereldwijd duidelijker moet worden.
Dit stelt hij tegenover de Financial Times. Volgens Brown is het feit dat cyberwetgeving nog “in flux” is, een bron van stress voor securityleiders. “Zeer weinig security-mensen zouden ooit iets doen wat niet juist is, maar je moet ons gewoon vertellen wat juist is om het te kunnen doen.”
In oktober vorig jaar klaagde de SEC SolarWinds en Tim Brown als hoofdverantwoordelijke aan voor het achterhouden van informatie. Een federaal hof verwierp de klacht vanuit de Amerikaanse toezichthouder SEC tegen Brown. Hij zou voor aandeelhouders hebben verborgen welke securitygevaren zijn bedrijf liep. Wel werd één statement van SolarWinds door de rechter als fraudulent gemarkeerd. SolarWinds zegt deze veroordeling aan te gaan vechten.
Schijnwerpers op CISO-rol
Hoewel Brown met een jaar aan juridisch geweld te maken heeft gehad, ziet hij er een positieve kant aan. Hij wijst naar de volwassenheid van wetgeving rondom andere onderwerpen, terwijl cyberperikelen pas twee à drie decennia spelen. “We zijn aan het inlopen op de volwassenheid van dat model,” zegt Brown. De rechtszaak heeft volgens hem de schijnwerpers op de rol van de CISO geplaatst, waardoor bestuursraden essentiële gesprekken voeren over cybersecurity.
Tip: Hoe de rol van de CISO radicaal is veranderd
Wie is uiteindelijk verantwoordelijk? Brown stelt van niet, en het rechterlijke besluit ondersteunt deze suggestie. Omdat de interne communicatie bij SolarWinds onder een vergrootglas belandde, vreesden advocaten voor negatieve gevolgen binnen andere organisaties. Wat als CISO’s niet meer het gevoel hebben dat ze problemen intern kunnen aankaarten? Immers dienen problematische IT-zaken besproken te kunnen worden om ze zo snel mogelijk op te lossen, in plaats van dat de vuile was altijd met regelgevers en aandeelhouders moet worden gedeeld.
Dat laatste lijkt de voornaamste opbrengst te zijn van de SEC-rechtszaak tegen SolarWinds. Brown ziet vooral kans voor wetgeving om de regels voortaan helderder aan te stippen. Geleidelijk aan worden deze wetten ook gerealiseerd, zij het veelal met vertraging. Binnen Europa geldt de EU Cyber Resilience Act als maatstaf. Hierin worden met name softwaremakers als organisaties verantwoordelijk gehouden voor de veiligheid van hun producten. Zo dienen zij te controleren of open-source componenten veilig zijn.
Verbetering is er zeker al. Zo sprak Techzine onlangs met Mirko Boehm van The Linux Foundation, die stelt dat de duidelijke (doch vervelende) regels van de Cyber Resilience Act beter zijn dan onzekerheid over de verantwoordelijkheid.
Lees ook: ‘Regelgeving maakt ontwikkelen minder leuk, maar onzekerheid is nog erger’