Vrijdag is door Reuters bekend gemaakt dat de SEC alle klanten van SolarWinds heeft gesommeerd informatie te verstrekken. SEC is de toezichthouder voor beursgenoteerde bedrijven. Aan het verzoek zal gehoor gegeven moeten worden, SEC kan immers de bedrijven en bestuurders sancties opleggen.
Kinderlijk eenvoudige hack
Dat in Washington verbijsterd is gereageerd op het gebrek aan professionaliteit bij SolarWinds is in Amerika breed uitgemeten in de pers. Elke infosec community moest naar adem happen toen bevestigd werd dat de FTP server van het bedrijf was beveiligd met het wachtwoord “solarwinds123”.
Grote schade
De schade die is ontstaan is groot, dat mag duidelijk zijn. Met wetgeving probeert de politiek (wat dat betreft zitten de partijen op een lijn) herhaling te voorkomen. Daarmee is het probleem echter nog niet opgelost of onder controle.
Dat boze beleggers naast de CEO ook de CISO persoonlijk mede aansprakelijk stellen en voor de rechter slepen leek het voorlopige hoogtepunt van de acties tegen het bedrijf te zijn. Maar iedereen met kennis van de klantgroepen vermoedde dat de gifbeker nog niet leeg was. Die groep lijkt nu dus gelijk te hebben gekregen.
Sommatie SEC
Toezichthouder SEC heeft namelijk de nodige ondernemingen die SolarWinds software gebruiken gesommeerd bekend te maken of zijn tussen najaar 2018 en eind 2020 zijn gehackt. Reuters schrijft dat alle 18.000 klanten van SolarWinds afgelopen maanden onder de loep zijn genomen. De bedrijven die nu zijn aangeschreven moeten dus op de een of andere manier zijn opgevallen.
Dat SEC überhaupt tot deze shortlist kon komen is al bijzonder. Het kan niet anders dan dat SolarWinds het complete klantenbestand heeft gedeeld met deze toezichthouder. Dat zal niet elke klant leuk vinden. Als dat ook is gebeurt met de klanten buiten Amerika kan het verhaal nog vervelender worden.
Twee mogelijkheden
Het is namelijk nu al vervelend genoeg. Bedrijven moeten op het schrijven van de SEC reageren. Er zijn twee reacties mogelijk. Een bedrijf geeft aan dat het gehackt is of men antwoord “niet gehackt”.
Als men is gehackt zal SEC in ieder geval kijken of daar indertijd correct een melding van is gemaakt. Mocht daar iets niet goed zitten dan is tenminste een ander soort procedure waarschijnlijk. SEC zal dan moeten vaststellen dat het bedrijf niet aan de informatieplicht heeft voldaan. Dat signaal is voldoende voor advocaten, beleggers en de pers over te gaan tot actie.
Een bedrijf kan ook antwoorden dat het niet is gehackt. Het wordt dan afwachten of die constatering juist is. SEC heeft immers reden gehad om het bedrijf aan te schijven. Mocht de Nee toch een Ja blijken te zijn, dan volgen de twee eerder genoemde acties.
Reken maar dat de brief van SEC voor de nodige onrust zorgt bij het Amerikaanse bedrijfsleven. Niet alleen zij, maar ook de toeleveranciers liggen opeens weer onder het vergrootglas. Daarbij is het niet de bedoeling van SEC bedrijven onder druk te zetten of te straffen omdat ze gebruik maakten of maken van SolarWinds. Het gaat erom of elk van de beursgenoteerde bedrijven in staat is cyberaanvallen correct en op tijd te constateren en er melding van te maken.