Blijf op de hoogte met gratis updates
Meld u eenvoudig aan bij de Cyberbeveiliging myFT Digest – rechtstreeks in uw inbox afgeleverd.
SolarWinds, het IT-bedrijf dat in 2020 door Russische hackers werd gehackt als onderdeel van een uitgebreide spionagecampagne, is aangeklaagd door de Amerikaanse Securities and Exchange Commission.
De SEC heeft maandag een klacht ingediend waarin het bedrijf en hoofd informatiebeveiliging Tim Brown worden beschuldigd van het misleiden van investeerders door “bekende risico’s” niet openbaar te maken en de cyberveiligheidsmaatregelen niet accuraat weer te geven.
“Wij beweren dat SolarWinds en Brown jarenlang herhaalde waarschuwingssignalen over de cyberrisico’s van SolarWinds hebben genegeerd, die bij het hele bedrijf bekend waren en een van Browns ondergeschikten ertoe brachten te concluderen: ‘We zijn nog lang niet een op veiligheid gericht bedrijf. ‘”, zei Gurbir Grewal, directeur van de handhavingsafdeling van de SEC, in een verklaring.
Het vermeende wangedrag vond plaats vanaf de beursintroductie van het bedrijf in oktober 2018 tot en met december 2020, toen een van de grootste cyberaanvallen in de recente geschiedenis de schijnwerpers zette op wat tot dan toe een weinig bekend toeleveringsbedrijf uit Austin was geweest. Hackers, gesteund door de Russische inlichtingendienst, misbruikten een softwareproduct van SolarWinds om bedrijven en overheidsorganisaties over de hele wereld te bespioneren, waaronder de Amerikaanse ministeries van Handel en Financiën.
Een woordvoerder van SolarWinds zei dat het bedrijf “teleurgesteld was door de ongegronde beschuldigingen van de SEC”. Advocaten die Brown vertegenwoordigen, zeiden dat hij “zijn verantwoordelijkheden bij SolarWinds had vervuld. . . met toewijding, integriteit en onderscheiding” en zeiden dat ze ernaar uitkeken “zijn reputatie te verdedigen”.
De actie van de SEC is de eerste keer dat zij probeert een Chief Information Security Officer persoonlijk aansprakelijk te stellen voor tekortkomingen op het gebied van cyberbeveiliging. Gary Gensler, voorzitter van de SEC, heeft zijn aandacht verlegd naar cyberrisico’s, waaronder het voorstellen van regels om de openbaarmaking van bedrijven te verbreden.
Volgens de klacht schreef Brown in een interne presentatie in 2018 dat de “huidige staat van veiligheid van SolarWinds ons in een zeer kwetsbare staat achterlaat voor onze kritieke activa”. De IPO-registratiedocumenten van de deal hadden echter alleen melding gemaakt van “algemene en hypothetische openbaarmakingen van cyberveiligheidsrisico’s”, aldus de SEC.
Een ingenieur van SolarWinds vertelde Brown in 2020 dat hij “geschrokken” was van de activiteiten bij een van hun klanten, waarop de directeur antwoordde dat de zaak “zeer zorgwekkend” was, aldus de klacht. “Zoals jullie weten zijn onze backends niet zo veerkrachtig en moeten we ze zeker verbeteren”, voegde hij eraan toe, volgens de klacht.
De klacht citeerde ook de waarschuwing uit interne communicatie uit 2020 dat “[t]Het aantal beveiligingsproblemen dat de afgelopen maand is geïdentificeerd, overtreft het vermogen van de technische teams om dit op te lossen.”
De SEC beweerde dat deze tekortkomingen werden uitgebuit bij wat zij “een van de ergste cyberveiligheidsincidenten in de geschiedenis” noemde, die zich volgens de klacht afspeelde tussen januari 2019 en december 2020.
Een manager van SolarWinds schreef in november 2020 in een instant message: “[E]Elke keer als ik hoor dat onze hoofdnerds praten over beveiliging, wil ik overgeven.
Source link: https://www.ft.com/content/44d1ec79-e6af-4b3f-a701-838777f871b5
