Op LinkedIn is, onder aanvoering van Computable-expert Henri Koppen (cto bij Arda Online), ophef ontstaan over de rechtszaak die een groep beleggers heeft aangespannen tegen de top van SolarWinds, onder wie de ciso. Inzet is of een ciso persoonlijk aansprakelijk is te houden voor door aandeelhouders geleden schade.
De kwestie is bekend: talloze bedrijven wereldwijd zijn succesvol aangevallen via de monitoringsoftware Orion van het softwarebedijf SolarWinds. Een groep beleggers zegt in haar belangen geschaad te zijn door de gebrekkige security bij SolarWinds en stelt de ceo en de ciso persoonlijk aansprakelijk. De oorspronkelijke aanklacht is tientallen pagina’s lang en dat geldt ook voor het antwoord dat SolarWinds bij de rechtbank indiende.
Gemengde gevoelens
In Nederland roept de kwestie de vraag op of het terecht is dat een ciso op het matje wordt geroepen door vermeende gedupeerden. Koppen stelt er gemengde gevoelens over te hebben. ‘Een ciso persoonlijk aansprakelijk stellen, dat maakt het beroep nu niet bepaald aantrekkelijker. En dat terwijl er al een tekort is aan goede ciso’s.’
Hij werpt de vraag op of klanten van een softwarebedrijf een due diligence zou moeten uitvoeren op het beveiligingsniveau van de programmatuur voordat ze er een licentie op nemen of de dienst afnemen.
In de discussie stelt een aantal personen dat de ‘c’ in ciso wel ergens voor staat en dus met verantwoordelijkheid komt. Die verantwoordelijkheid moet dan wel worden beschreven en in doen en laten (onder andere budget) worden ondersteund door de directie en/of raad van bestuur. Een ander kaatst de bal terug bij de aandeelhouders: in hoeverre hebben zij actief aangedrongen op doortimmerd security-beleid bij de onderneming?
Erg bont
In beginsel is het ook in Nederland mogelijk een bestuurder persoonlijk aansprakelijk te stellen, reageert Arnoud Engelfriet, partner bij ICTRecht. Maar dan moet die het wel bont hebben gemaakt. ‘De kern is: in hoeverre valt de ciso en ceo persoonlijk wat te verwijten? En waren ze desbewust bezig met misleiding/voorliegen? In de VS is dat de eis voor aansprakelijkheid door aandeelhouders. Gewoon slecht je werk doen is géén reden voor persoonlijke aansprakelijkheid. Er moet (zowel in Nederland als de VS) meer zijn dan enkel prutsen. Prutsen en welbewust liegen, dan wordt het een ander verhaal.’
Engelfriet vervolgt: ‘Verder moet de ciso wel echt een bestuurder zijn. Een titel is makkelijk op visitekaartjes gezet, maar had je ook echt besluitbevoegdheid? Kon je als ciso iets doordrukken of tegenhouden? Had je stemrecht in de vergadering? Vaak is een ciso een mooie vlag op een organisatorisch krachteloos orgaan.’
Hoe dan ook: het is interessant te zien hoe de rechters oordelen in de SolarWinds-zaak.
Het is op zich niet vreemd dat een groep beleggers een rechtszaak begint tegen een bedrijf dat schade veroorzaakt door niet zorgvuldig te handelen. Bestuurders persoonlijk aansprakelijk stellen komt niet zo gauw voor. Ook voor de Nederlandse wet moeten de personen meer misdaan hebben dan alleen slecht werk geleverd hebben. Erin geluisd worden door APT29 / Cozy Bear/SFB, is niet zeker voldoende. SolarWinds zou echter met malware geïnfecteerde updates zijn blijven verspreiden, nadat de infectie bij SolarWinds bij hen bekend was. Ook zou SolarWinds, volgens Heise.de, klanten gevraagd hebben om anti-malware tools tijdens de installatie uit te zetten, vanwege mogelijke vals positieve meldingen. Medewerkers van SolarWinds zouden ook nog eens grote aandelenpakketten hebben verkocht nadat de hack bij hen intern bekend is geworden, terwijl de hack nog niet publiek is gemaakt. Als dit klopt, dan is persoonlijk aansprakelijk stellen te rechtvaardigen. In het geval van SolarWinds kan een CEO en/of CIO persoonlijk aansprakelijk gesteld word vanwege het niet op de hoogte stellen van klanten (die extra maatregelen hadden kunnen nemen.), aandeelhouders en andere stakeholders.
Een CISO persoonlijk aansprakelijk stellen is niet voor de hand liggend, want deze is geen beslisser. De CISO moet bijvoorbeeld bewust misleidende adviezen hebben gegeven aan de lijn. Het is de vraag of dit zo is en of dit bewezen kan worden. De oude en nieuwe CEO van SolarWinds hebben aangegeven dat hun ftp update server door een stagiair voorzien was van account met een zwak wachtwoord (“solarwinds123”). Dat zo’n zwak wachtwoord ingesteld kon worden, stelt de CISO natuurlijk in een kwaad daglicht. Maar het is niet bewezen dat dit het lek bij SolarWinds zelf veroorzaakte.
Evenzogoed mag er ook gekeken worden naar de rol van de grote aandeelhouders, eventuele kredietverstrekkers en de commissarissen van SolarWinds. Hebben die oog gehad voor de blijkbaar slechte security cultuur bij SolarWinds? Dus is het interessant te zien hoe de rechters oordelen in de SolarWinds-zaak.
De discussie op LinkedIn was voor mij ook leerzaam, vooral wat de rol CISO vaak betekent (in Nederland).
Wat ik ook wel bijzonder vind is dat een product dat zo verweven is met security, blijkbaar heel erg vertrouwt is zonder dat de klanten ervan zich in de security ervan verdiept hebben.
Als ik mijn kroonjuwelen door een extern bedrijf laat bewaken en dit bedrijf alle toegang geef, dan zou ik me wel verdiepen in hoe het bedrijf zijn security op orde heeft. Dus ook klanten gaan niet helemaal vrijuit.
We zullen supply chain aanvallen steeds vaker zien en ben ook zelf met deze bril op naar security gaan kijken.
De kans dat je als bedrijf met hacking en ransomware te maken krijgt word met de dag groter. Je kunt niet meer passief blijven.