Rusland en China
Over de hack van SolarWinds is nog lang niet alles bekend gemaakt. In ieder geval kan met grote zekerheid worden uitgegaan van een hack die vele maanden voorbereiding heeft gevergd. De eerste dadergroep is gelinkt aan Rusland. Dat daarna ook Chinese groepen van het lek gebruik hebben gemaakt is eveneens duidelijk.
Consequenties
In weerwil van wat de CEO van SolarWinds heeft aangegeven is de affaire niet de schuld van een tijdelijke kracht of stagiair. De directie heeft de nodige fouten gemaakt. De consequenties daarvan zullen later nog zichtbaar worden.
Nu al is duidelijk dat de politiek het niet bij laat zitten. Inmiddels zijn er meerdere wetsvoorstellen ingediend. Zo is er het wetsvoorstel dat met Amerikaanse burgers mogelijk moet maken buitenlandse staten aan te klagen wegens cybercrime. Maar er zijn ook plannen bedrijven te dwingen betere maatregelen te treffen om cybercrime te voorkomen.
Audits en aanbestedingen op de schop
Die laatste categorie plannen krijgt nu al de steun van brancheorganisaties. Dat is een belangrijk signaal. De eerste contouren van audits en aanbestedingen worden zo zichtbaar. Van producenten en partijen die voor installatie en onderhoud verantwoordelijk zijn moeten klanten meer eisen. In ieder geval voor overheidsopdrachten zal per keer moeten aantonen dat men in control is voor alle aspecten van de software. Ook bij upgrades en updates! Omdat IT en data altijd deel uitmaken van een langere keten gaan de Amerikaanse eisen ook gelden voor het bedrijfsleven dat zaken doet met de overheid.
Compliance
Waar de Amerikaanse politiek, daarbij gesteund door de veiligheidsdiensten, op aanstuurt is het overboord zetten van de bestaande compliance principes. Security is te complex en vooral te belangrijk. Het zetten van een vinkje of een vage omschrijving van de scope kan niet meer. Dat raakt niet alleen de business van bedrijven als SolarWinds en concurrenten als Datto, LogicMonitor of Nagios. Dit gaat evenzo de resellers, de MSPs raken. De hele IT keten kan door het falen van SolarWinds op aangescherpte de inkoop- en acceptatieprocedures rekenen.
En voor alle duidelijkheid, dat is niet alleen omdat de politiek het wil. Er is ook een juridisch probleem dat weg moet. Tot nu toe is het zo goed als onmogelijke een softwaremaker aansprakelijk te stellen voor een ondeugdelijk product. Een deel van de Amerikaanse wetsvoorstellen wil dat probleem nu ook voor eens en voor altijd aanpakken.