Updates en communicatie van SolarWinds
Afgelopen maandag kwam SolarWinds met een update over de hack. Het bedrijf zegt nu dat in maart 2020 malware in de Orion software is gekomen. Als meest waarschijnlijke methode denkt men nu dat de er sprake was van de Microsoft Visual Studio development tools. Toen de hackers eenmaal toegang tot die “gereedschapskist” hadden was het betrekkelijk makkelijk de echte SolarWinds software te besmetten.
Met de update wil het bedrijf in ieder geval twee dingen bereiken. Op de eerste plaats staat natuurlijk het herstellen van klantvertrouwen. Daarnaast is het gebruikelijk bij security incidenten te waarschuwen, opdat herhaling elders kan worden voorkomen.
Strik genomen is er ook nog een derde reden waarom bedrijven die zijn gehackt opeens meer en vooral open communiceren. Dat heeft alles te maken met de aansprakelijkheid. De kans dat boze klanten en ontevreden beleggers een zaak tegen SolarWinds starten in Amerika is gewoon heel groot.
Scenario van de hack
Het meest waarschijnlijke scenario is dat een buitenlandse mogendheid reeds in september 2019 (!) het “hang- en sluitwerk” van SolarWinds heeft onderzocht. Dat leidde tot het testen van aanvalsmethodes in november van dat jaar. In voorjaar 2020 begon de besmetting van de Orion software. Op die manier kon de aanvaller toegang krijgen tot de netwerken van bedrijven en overheidsinstellingen die van Orion gebruik maken.
Hoe groot is de schade?
De vraag waar niemand nog het echte antwoord op heeft is de omvang van de schade. Hoeveel data hebben de criminelen bemachtigd en is daar een prijskaartje aan te hangen. Het probleem dat zich hier voordoet is dat (nog) niet bekend is waar criminelen allemaal hebben toegeslagen.
Alle gebruikers van Orion hebben de afgelopen periode extra kosten moeten maken om zeker te zijn dat zij niet zijn besmet of gehackt via de SolarWinds software. Die kosten zullen ze natuurlijk willen verhalen. Deels omdat ze zelf de kosten vergoed willen zien, maar ook omdat ze klanten hebben die dat eisen.
Verzekeraars minder ongerust
En op dat punt komen de verzekeraars om de hoek kijken. Deze groep is schijnbaar veel minder ongerust dan eerst werd aangenomen. Men verwacht op dit moment schades tot $90 miljoen te moeten vergoeden. Dat is een laag bedrag. De reden daarvoor is simpel. De meeste klanten die schade zullen hebben opgelopen zijn overheidsinstellingen. Overheidsinstellingen (althans in Amerika) zijn niet verzekerd. Daarom valt de schade voor verzekeraars mee.
Maar wie denkt dat men blij mee is heeft het verkeerd. De hack van SolarWinds heeft namelijk een type aanval laten zien waarmee de meeste verzekeraars geen rekening hadden gehouden. Er zullen dus nieuwe polissen en voorwaarden verschijnen waarin ook iets staat over aanvallen op de supply chain. Ongewijzigd blijft de bepaling dat in geval van aanvallen van buitenlandse staten (in plaats van individuen) niet gedekt zijn door de cyberverzekering.