SEC heeft SolarWinds in het vizier

Op 3 november kwam SolarWinds met kwartaalcijfers en in het kielzog daarvan volgde het bericht dat toezichthouder SEC de eerste stappen voor een onderzoek tegen het bedrijf heeft gezet. Dat kan niet verbazen, want wat er in 2020 is gebeurd roept nog steeds veel vragen op.

SolarWinds is in 2019 gehackt. Hoe dat is gebeurd is inmiddels bekend. Dat geldt ook voor de gevolgen. De IT van bedrijven en overheden in Amerika, waaronder het ministerie van Justitie en DHS, zijn door de hack toegankelijk geworden voor cybercriminelen. Alles wijst erop dat de daders banden met niet bevriende naties hebben of zelfs daar direct ook de opdracht van gekregen hebben.

N-able

Of SolarWinds indertijd op alle vlakken correct heeft gereageerd op de hack is een onderwerp waar het laatste woord nog niet over is gezegd. Voor iedereen zichtbaar is dat het bedrijf met grote haast de business heeft gesplitst. De MSP business (N-able) is gescheiden van de overige zaken. Die scheiding was weliswaar al eerder aangekondigd, maar heeft door het naar voren halen wel de indruk gewekt dat dit bedoeld was om het imago te redden.

Eveneens zichtbaar is dat deze affaire heeft geleid tot aanvullende wetgeving in Amerika en Engeland. MSP’s moeten aan meer regels voldoen en zijn aan controle onderworpen. In de EU kan zoiets later nog volgen, maar dat is weer een ander verhaal.

Procedures

Zoals altijd het geval is in Amerika is SolarWinds direct ook door de eigen aandeelhouders voor de rechter gesleept. Daarvan weten we sinds vorige week dat er een schikking is getroffen. Die staat namelijk in de K8 genoemd. In de K8 staat verder dat toezichthouder SEC op 28 oktober contact heeft opgenomen met de directie van SolarWinds. SEC heeft laten weten dat het op basis van de huidige informatie zal adviseren tot het instellen van een onderzoek naar SolarWinds.

In de K8 is SolarWinds gehouden aan het strikt weergeven van dat feit. Later zijn in de pers berichten verschenen die de betekenis van deze verklaring iets anders weergeven. Feit is dat er op dit moment en dus ruim twee jaar na de zichtbare impact van de hack bij SEC vragen over het handelen van SolarWinds. Daarbij gaat het nadrukkelijk over de communicatie met de buitenwacht, zijnde de aandeelhouders en toezichthouders.

Te laat

De meest voor de hand liggende vraag is of SolarWinds te laat is gaan communiceren. Dat is een punt dat veel geld kan gaan kosten en ook in de EU en Nederland wel eens voorkomt. Zo is de AVG boete die Booking.com in 2021 kreeg naar boven aangepast omdat het bedrijf pas na 22 dagen aan de bel heeft getrokken. Dat is niet het “onverwijld” dat onze toezichthouder voorschrijft. In Amerika hebben SEC en andere toezichthouders vergelijkbare begrippen. Mede naar aanleiding van de schade door SolarWinds hack en de golf van ransomware aanvallen worden die trouwens aangescherpt.