Microsoft en de collateral damage bij SolarWinds en N-able

Dat vorige week Microsoft Vice Chairman en President Brad Smith voor lopende camera’s tijdens een hoorzitting van het Amerikaanse congres bijna letterlijk voor leugenaar is uitgemaakt past in het beeld dat Washington doorkrijgt en bewijs vindt dat Microsoft omzet belangrijker vindt dan veiligheid. Smith kreeg te horen “I just don’t trust what you’re saying to me”, dat is in de politieke arena een manier om te omschrijven dat men twijfelt of de waarheid wordt gesproken. In dit geval is die opmerking goed te plaatsen. Microsoft is eerder (zie dit artikel) al beschuldigd van bewust tekortschieten bij veiligheid. Meer omzet en een groter marktaandeel van Azure was belangrijker.

Al in 2016 lek

Inmiddels weten we dat in 2016 reeds bekend was dat er een kwetsbaarheid was waardoor derden toegang tot de Microsoft cloudomgeving konden krijgen en daarbij amper sporen achterlieten. De persoon die dat constateerde heeft meermaals aangegeven te zijn tegengewerkt en verliet daarom in 2020 zijn werkgever, dat was Microsoft. Met die kennis weten we ook dat de SolarWinds hack, die voor veel ophef en zelfs paniek zorgde, iets anders in elkaar zat dan gedacht. Het klopt dat staatshackers uit Rusland in de systemen van SolarWinds zaten en op die manier bij (overheids-) klanten van het bedrijf konden infiltreren.

Onjuiste verklaringen

Wat niet klopt aan het verhaal is dat de hack echt is begonnen bij SolarWinds. In 2021 verklaarde Brad Smith tijdens een ander hoorzitting van het Congres “there was no vulnerability in any Microsoft product or service that was exploited in SolarWinds.” Die verklaring is onjuist en Smith had dat kunnen weten. Dat verklaart ook de verwijten die hij afgelopen week naar het hoofd geslingerd kreeg. Bij SolarWinds zal met gemengde gevoelens zijn gekeken naar de hoorzitting. Aan de ene kant is er nu het bewijs dat het startpunt van de hack buiten de deur lag. Aan de andere kant blijft staan dat het bedrijf de aanval op de eigen omgeving niet heeft opgemerkt .

“business as usual” of collateral damage

De lezer zal bekend zijn dat SolarWinds kort na de hack en de ophef de MSP business heeft afgestoten en naar de beurs gebracht. Het heette toen dat dit al langer de wens was maar door omstandigheden was er reden dat te versnellen. Nadien hebben zowel N-able (het afgestoten MSP deel) en SolarWinds hun best gedaan “business as usual” uit te stralen. De omzet zou hard groeien en over het verleden werd geen woord meer gerept. Toch zijn er indicaties dat de hack meer collateral damage heeft aangericht dan men wil toegegeven. Los van de rechtszaken tegen medewerkers en bestuur speelt er nog iets anders. Recent heeft N-able gehint zichzelf in de etalage te zetten. Dat komt niet omdat de omzetgroei tegenvalt, wel omdat het portfolio te beperkt is. Wat N-able mist is deels wat bij SolarWinds is achtergebleven. Is dat opsplitsen te snel gegaan?