Een rechtszaak van de Amerikaanse Securities & Exchange Commission (SEC) tegen SolarWinds is gestaakt. Het juridisch vuur richtte zich ook op de CISO van het bedrijf, Timothy G. Brown. De geclaimde persoonlijke verantwoordelijkheid van Brown wordt nu niet in een gerechtshof vastgesteld. Het lijkt er daardoor op dat CISO’s minder te vrezen hebben van de wet dan voorheen gedacht.
CISO’s dragen de verantwoordelijkheid voor het beveiligen van de IT-infrastructuur van hun bedrijf. Om die reden is het niet zo gek dat Brown in deze functie op het matje geroepen werd in een rechtszaak. Wegens vermeende fraude en fundamentele interne controlefouten zou de SolarWinds-CISO hebben bijgedragen aan het grootschalige SUNBURST-cyberaanval. Via een supply chain-compromis slaagden Russische spionnen erin een backdoor te plaatsen in SolarWinds’ Orion-systeem voor netwerkmonitoring. Door deze backdoor werden grofweg 18.000 organisaties getroffen.
Gezamenlijk verworpen
De SEC, SolarWinds en haar CISO hebben gezamenlijk de rechter nu gevraagd om de zogeheten ‘civil enforcement action’ tegen het bedrijf en Brown te staken. Dat is niet al te verrassend: de zaak was in oktober 2023 gebracht maar werd in juli 2024 al grotendeels verworpen door een hof in New York. Het leek er volgens CRN destijds op dat de partijen tot een schikking zouden komen, maar dat blijkt nu niet het geval.
Voor CISO’s is het juridisch vaarwater nog altijd onstuimig. Het feit dat de SEC in Amerika koos voor een persoonlijke aanklacht naast een gericht op SolarWinds als geheel, laat zien dat ze een doelwit kunnen zijn. Eerder had SolarWinds al geclaimd dat Brown juist gold als slachtoffer net als het bedrijf zelf. Een woordvoerder van het bedrijf vertelde The Register het volgende: “We hopen dat deze oplossing de zorgen laat afnemen die vele CISO’s hebben uitgesproken over deze zaak en het mogelijke afschrikwekkende effect dat het dreigde te hebben op hun werk.”
Dreigingen alom
Het beveiligen van een IT-infrastructuur is lastiger dan ooit, daar lijkt elke expert het over eens te zijn. Ook zijn software supply chains complexer met de dag en lijkt AI een ‘game changer’ voor het vereenvoudigen van cyberaanvallen. De hoop is om (wellicht mét AI) de gevaren technologisch af te wenden zonder securityruis en blinde vlekken, waarvoor bedrijven CISO’s inschakelen om leiding te geven. Dat proces is echter een stuk moeilijker af te handelen als de dreiging ook juridisch van aard is. Natuurlijk moet er van CISO’s verwacht worden dat ze hun verantwoordelijkheid dragen, net als geldt voor CEO’s voor het gehele bedrijf, CFO’s voor de financiën, et cetera. Maar het precedent voor deze specifieke rol is nog niet gezet. Ook vandaag overigens niet: een rechterlijke uitspraak blijft nu uit omdat de zaak gestaakt is. Desondanks hebben de verworpen claims van juli 2024 al mogelijk een positief effect vanuit het CISO-perspectief geboden. Een volgende zaak biedt wellicht uitsluitsel.